让你久等了！《开源安全运维平台OSSIM疑难解析--提高篇》上市

本书精选了OSSIM日常运维操作中总结的几百个疑难问题，是OSSIM运维工程师故障速查手册，专门针对OSSIM故障解答来编写。本书主要介绍重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧，介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、Netflow抓包分析异常流量的方法，深入分析了Openvas架构和脚本分析方法。

 

 

目　录

 

 

Q001　Snort检测规则存储在何处？如果触发规则Snort将会产生几种动作类型？... 1

Q002　Snort 2.9版本中主要有哪些预处理插件，各有什么功能？.... 2

Q003　如何利用Scapy测试Snort规则？... 2

Q004　Snort有几种工作模式，各有什么特点？... 4

Q005　举例说明Snort采用什么规则检测可疑载荷？... 9

Q006　Snort如何检测Chargen/Echo DoS攻击？... 9

Q007　如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘？... 10

Q008　在同一个网段内如何部署多个IDS？... 10

Q009　手动编译安装Snort时，需要做哪些准备工作？... 10

Q010　如何在Linux下编译安装Snort？... 11

Q011　如何将Snort报警存入MySQL数据库？... 15

Q012　如何搭建基于BASE的可视化入侵检测系统？... 19

Q013　OSSIM的PHP IDS组件采用什么方法来接收和分析数据？... 25

Q014　IP碎片攻击对Snort会产生哪些危害？... 25

Q015　在Snort规则中，msg、content、threshold、reference选项有何含义？... 26

Q016　OSSIM中如何管理引用类型？... 28

Q017　外部引用在OSSIM安全事件管理中起到什么作用？... 29

Q018　OSSIM5中的Suricata支持PF_RING吗？... 30

Q019　如何利用DARPA 2000数据集重构攻击场景？... 31

Q020　在Snort中如何使用参数查看数据链路层的包头信息？... 31

Q021　Snort的输出插件分为几类？各有什么作用？... 32

Q022　sid-msg.map和gen-msg.map有什么区别？... 38

Q023　在 OSSIM 4.12检测器中Snort状态为DOWN，而Suricata为UP，这种状态正常吗？
它们能同时为状态UP吗？... 39

Q024　网络主动探测与被动探测有什么区别？... 39

Q025　如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除？... 40

Q026　Snort传感器部署在企业网的什么位置？... 40

Q027　Suricata与Snort有何区别？... 41

Q028　如何调整Suricata同时处理的数据包的数量？... 42

Q029　如何设置Suricata的运行模式？... 42

Q030　Suricata事件输出分为哪几种？如何记录匹配的信息？... 43

Q031　当Suricata检测到可疑数据包时，以二进制格式将其存储到什么文件？通过什么
程序读取？... 43

Q032　Suricata通过什么参数记录真实客户机的IP？... 44

Q033　若让Suricata记录所有HTTP日志，则该如何修改配置文件？... 44

Q034　如何保存经Suricata检测的所有数据包？... 44

Q035　如何启用Suricata服务的Debug日志？... 45

Q036　如何将Suricata的报警信息输出到Syslog文件中？... 45

Q037　数据包在Suricata检测引擎中是如何匹配的？... 45

Q038　Suricata检测引擎的配置属性分为几种？... 45

Q039　在多核心OSSIM服务器上如何改善Suricata处理性能？... 46

Q040　在高速复杂的网络环境中，如何提高Suricata规则检测时的数据分片传输效率？... 46

Q041　在Suricata的stream引擎中对数据包重组需要占用CPU资源，为了避免无限制地
重组数据包，应该修改什么参数对其进行限制？... 47

Q042　Suricata的日志文件suricata.log保存在什么路径中？该路径由什么配置文件
定义？... 48

Q043　OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING？... 48

Q044　如何定制Suricata规则？... 49

Q045　如何更新AlienVault NIDS规则和签名？... 50

Q046　Snort可作为IPS使用吗？如何部署？... 51

Q047　在OSSIM 3中，PF_RING有哪几种工作模式？... 51

Q048　如何启用新的ET规则？... 52

Q049　如何在OSSIM系统中配置无线入侵系统？... 52

Q050　OSSIM平台上的iptables模块在什么位置？... 58

Q051　举例说明OSSIM如何发现Nmap扫描行为。... 58

Q052　AIDE有什么作用？... 60

Q053　如何在CentOS Linux中安装AIDE？... 61

Q054　如何在OSSIM中安装AIDE？... 62

本章测试... 64

Q055　OSSEC Agent主要由哪些进程组成，各有什么作用？.... 69

Q056　简述OSSEC Server/Agent工作流程及其关键进程的作用。... 70

Q057　什么是Agent和Agentless监控？... 70

Q058　如何测试OSSEC规则？... 71

Q059　当因磁盘空间不足而造成OSSEC服务故障时，该如何处理？... 71

Q060　分布式环境下OSSEC和Agent是如何通信的？... 73

Q061　在Linux环境中如何安装OSSEC Agent？... 73

Q062　Linux下安装OSSEC Agent报错时应如何解决？... 76

Q063　Nmap扫描和OpenVAS扫描有什么区别？... 77

Q064　OSSEC事件报警处理流程是什么？... 77

Q065　如何在Windows 8环境下安装OSSEC Agent？... 78

Q066　用于配置OSSEC Agent的文件位于何处？... 82

Q067　当OSSEC Agent无法连接服务器时，该如何处理？... 82

Q068　在Windows Server 2012中如何安装OSSEC Agent？... 83

Q069　如何在Web中查看OSSEC Agent状态？... 88

Q070　OSSEC日志存储在什么位置？... 89

Q071　Web UI中OSSEC调用规则的后台文件位于何处？... 90

Q072　如何监听OSSEC Server和Agent之间的数据通信？... 91

Q073　Windows平台中已安装了OSSEC Agent，但在OSSIM服务器中没有接收到
日志，这怎么解决？... 92

Q074　OSSEC客户端无法连接到OSSEC服务器时，该如何处理？... 92

Q075　/var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义？... 92

Q076　在OSSEC输出插件中的特定字符表示什么含义？... 93

本章测试... 94

Q077　OpenVAS的扫描日志存放在何处？... 98

Q078　CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含义？... 98

Q079　OpenVAS主要进程和配置文件有哪些？... 100

Q080　OpenVAS脚本采用什么语言编写？请描述脚本加载过程。... 101

Q081　OpenVAS扫描初期如何加载脚本？... 102

Q082　漏洞扫描器中的脚本如何对目标进行安全检测？... 102

Q083　OpenVAS的扫描器openvas-scanner调用的私钥证书文件位于何处，证书由什么
程序创建？... 102

Q084　OpenVAS扫描过程分为几个阶段，服务器端有几个主要模块，它们之间工作
流程如何？... 103

Q085　OpenVAS扫描器工作状态出现Failed提示，表示什么含义？... 104

Q086　用OpenVAS进行扫描时出现故障如何排除？... 104

Q087　在什么情况下应终止漏洞扫描任务？... 107

Q088　Nessus与OpenVAS的扫描效果有什么区别？... 108

Q089　OSSIM使用OpenVAS扫描系统时，为何还保留Nessus规则？... 109

Q090　使用alienvault-update命令对系统升级之后出现OpenVAS无法正常工作的情况，
如何解决？... 110

Q091　操作过程中无法连接到漏洞扫描器，这种故障该如何解决？... 110

Q092　漏洞扫描时间过短会发生哪些问题？... 111

Q093　扫描资源池之外的机器会出现什么情况，如何处理？... 111

Q094　如何手动更新CVE库？... 112

Q095　OSSIM系统中设置多长时间的漏洞扫描周期合适？... 112

Q096　OpenVAS导出报告中针对漏洞分类使用了几种颜色？各表示什么含义？... 113

Q097　X-Scan、Fluxay、Nessus及OpenVAS这几款扫描软件有何区别？... 114

本章测试... 115

Q098　为何单线程的Redis速度还能这么快？... 117

Q099　Memcache的作用是什么？... 117

Q100　如何增大Redis运行内存？... 118

Q101　如何安装MemCached监控探针？... 119

Q102　OSSIM为什么采用消息中间件？... 120

Q103　RabbitMQ在OSSIM系统中起到什么作用？... 122

Q104　如何查询OSSIM服务器上的消息队列以及连接信息？... 122

Q105　如何重置RabbitMQ节点？... 122

Q106　如何查看已启用的RabbitMQ插件？... 123

Q107　OSSIM中的RabbitMQ如何打开Web管理后台？... 123

Q108　OSSIM为何要引入Redis内存数据库，采用key/value存储？... 125

Q109　OSSIM服务器使用RabbitMQ有何优势？... 126

Q110　如何查看Redis服务器实时转储收到的请求？... 127

Q111　如何进入或退出Erlang Shell界面？... 127

本章测试... 128

Q112　在OSSIM平台上日志可视化体现在何处？... 130

Q113　iptables日志有几种记录形式？各有什么区别？... 131

Q114　如何将iptables日志转发到指定文件中？... 132

Q115　如何在Web界面中查看iptables事件？... 134

Q116　如何发现日志时间被篡改？... 136

Q117　为什么使用GNS3？... 137

Q118　在实验环境中使用GNS3有哪些短板？... 137

Q119　GNS3如何模拟3层交换机？... 138

Q120　如何将GNS3与本地网卡桥接？... 138

Q121　如何用OSSIM采集Squid日志？... 139

Q122　如何通过Snare将Windows事件转发至Linux日志采集服务器？... 140

Q123　如何用Syslog-Slogger测试Syslog服务器？... 143

Q124　如何使用logger发送测试日志？... 144

Q125　如何模拟Syslog流量？... 144

Q126　WMI与Snare有什么区别？... 146

Q127　OSSIM日志处理流程是什么？... 146

Q128　原始安全事件需要具备哪些属性？... 147

Q129　原始日志和归一化事件有什么不同？... 149

Q130　将Windows日志转换为Syslog日志的工具有哪些？... 149

Q131　如何选择合适的日志级别？... 150

Q132　有哪些工具可以将Windows日志转换为Syslog？... 151

Q133　如何利用Evtsys工具采集Windows日志并转发到Syslog服务器？... 152

Q134　如何收集Apache日志？... 153

Q135　为什么在Zabbix服务器上启用Syslog消息转发后，服务器会出现卡顿的现象？... 154

Q136　如何利用Rsyslog协议采集日志？... 154

Q137　如何用Rsyslog将日志发送到不同的日志收集器中？... 155

Q138　如何在OSSIM中启用SNMP服务？... 155

Q139　如何让Linux客户机通过Syslog将日志发送到OSSIM服务器？... 156

Q140　alerts.log文件中突然产生大量日志，应如何处理？... 157

Q141　Syslog中每条消息的最大长度是多少？... 157

Q142　在OSSIM企业版中如何从Web UI中导出日志？... 157

Q143　安全审计要求日志保存时间是多久？... 158

Q144　如何通过WMI方式接收日志？... 158

Q145　如何将VsFTP日志发送到OSSIM？... 159

Q146　如何将客户端的sudo日志重定向到服务器端指定的文件中？... 161

本章测试... 162

Q147　OSSIM的关联分析如何工作？... 164

Q148　安全事件关联分析的目的是什么？... 165

Q149</