《开源安全运维平台OSSIM最佳实践》实验环境下载

《开源安全运维平台OSSIM最佳实践》实验环境下载 

 

由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。

                                        

  OSSIM开源安全交流QQ群： 179084574  

     经多年潜心研究开源技术，历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了，作者10多年的IT行业技术积累，重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的开源安全运维系统，经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美，而且很多国内的开源安全运维项目在发布1-2年后就逐步淡出了舞台，而OSSIM持续发展了十多年。

前  言

一、为什么要写作本书

1. 现状

日常工作中，运维人员大部分时间和精力都用于处理简单、重复的问题，由于故障预警机制不完善，往往故障发生后才会进行处理，运维人员经常处于被动“救火”状态。
没有高效的管理工具支持，就很难快速处理故障。市面上有很多运维监控工具，例如商业版的、 Solarwinds、ManageEngine以及WhatsUp等，开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。由于它们彼此之间没有联系，即便部署了这些工具，很多运维人员并没有从中真正解脱出来，成千上万条警告信息堆积在一起，很难识别问题的根源，结果被海量日志所淹没，无法解脱出来。
另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患。

2. 手工整合的演化过程

在人工管理初期，主要依靠一些简单的Shell脚本完成一些基础工作，后来虽然采用Cacti来做性能监控，Nagios做主机监控、PHP+SSH等方式进行管理，但各种运维工具仍无法实现数据共享，此时整个防御体系面对网络威胁“反应迟钝”，每当故障来袭，总是“马后炮”，难以查找***者的踪迹，就好像一个人总被蚊子叮咬，想打蚊子可手眼又跟不上的感觉。
经过分析后，开始尝试将资产管理模块、***检测模块、流量监控模块、漏洞扫描模块集成到一台服务器中进行统一管理，实现了标准化日志、统一处理等任务，在系统改造中以下问题尤为突出：
      安装时软件依赖问题难以解决。
       各子系统界面重复验证和界面风格不统一。
       各子系统之间数据无法共享。
       无法实现数据之间关联分析。
        无法生成统一格式的报表。
        缺乏统一的仪表板以展示重要信息。
        系统维护难度增大。
将这些开源工具集成比较困难，该方案架构并不合理，出现了性能瓶颈，对于安全事件的关联分析、合规管理及知识库查询依然无法实现。

3. 终极工具——OSSIM集成安全运维的平台

发现一个好的管理平台并不是偶然，管理员从最原始的命令行的运维时代，进化到统一管理平台，的确要走很多弯路，其实这一过程就是普通管理员到专家的蜕变。只有经历过磨难的管理员才能深刻体会到这一点。一款优秀的安全运维平台，需要将事件与IT 流程相关联，筛选出运维人员最关心的事件，提高工作效率。
目前能满足上述要求的开源产品只有OSSIM系统，它是由Alienvault公司开发，现分为开源OSSIM和商业版USM两种，通过该平台实现对用户操作规范的约束和对计算机资源进行监控，包括服务器、数据库、中间件、存储备份、网络基础设施，通过自动监控管理平台实现故障综合处理和集中管理，能够为您的网络构建起一套敏感的、全方位的中枢神经系统，达到感知网络威胁的效果。

二、创作过程

说起来，我和OSSIM还是挺有缘分。研究生时曾开发过开源统一安全管理平台项目，主要目标是将不同网络设备和服务器的日志，通过标准化转化为事件，然后统一进行日志分析与设备联动。在完成这个项目过程中，主要参考OSSIM源代码，先后尝试了基于统计、基于距离和基于决策树的算法，破解了网络安全事件聚合的难题，
这些年，先后为几十家单位成功部署了OSSIM系统，并提供技术支持。在OSSIM项目实施过程中不断总结遇到的各种问题，曾今在研究OSSIM的道路上，不但软件不太好找，而且技术资料匮乏，只能靠自己不断钻研和摸索，软件经过三年的技术沉淀与积累，终于撰写出600多页的OSSIM技术教程。

全书规划成三篇，共十章内容，这些内容包含OSSIM系统的各种知识和技巧，使读者今后再遇到问题能够举一反三。即使OSSIM更新升级后，读者也能结合书中介绍的概念和操作方法，同样能够掌握，那么本书的目标就达到了。
从事IT工作的人都比较忙，很少有完整的时间能清闲下来，对于一般人而言没有时间，就是最好的幌子，而善于利用时间的人往往能够利用各种间隙，进行创作构思。在本书创作中并不是一帆风顺，有时候为了验证一个技术问题，需要反复实验，为了一句话需要经过反复推敲。
初稿出炉，必须经过不断修改润色，才适合阅读，本书刚刚写完时才500多页，但是在一遍又一遍的修改笔误和错别字之后，萌发出新的想法，每复查一遍，我都会对原稿做一些改动，数量上要数第一次改动扩充最大，以后逐渐减少，直到满意为止。
本书不是什么神功秘籍，无法让你在短时间内从一个小白变成一个牛人。书中以OSSIM 4.8平台为基础进行讲解，同样适合4.6 - 4.15多个版本，OSSIM将各种开源软件合理的融入进来，并把本人多年OSSIM实施经验以案例的形式表达出来。学习OSSIM的道路并不是一帆风顺，希望读者朋友再遇到困难时，本书能够为您答疑解惑。

三、篇章结构
书的结构好比框架，而内容则是具体组成元素，本书采用了文字、图表和范例等形式，将OSSIM复杂的结构和工作流程直观的展现给读者。全书分为三部分，共10章。

1. 基础篇

第1章：本章从OSSIM起源讲起，介绍了目前运维人员现状，逐步谈到应用SIEM的必要性，进而介绍OSSIM架构与组成原理，另外还介绍了基于插件的日志采集思路，提出标准化安全事件的全新理念，详细分析了OSSIM的高可用架构与实现方法。
第2章：本章从OSSIM实施关键要素、安装策略、硬件选型开始，深入分析单机部署，分布式体系、传感器设置等重要安装工作。分析了安装过程以图文并茂的方式，指出了系统配置过程，包括实体机，虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM事件控制台的使用和事件过滤方法。

2. 提高篇

第3章：本章对于OSSIM开发人员很有帮助，除了介绍OSSIM数据库组成、表结构，以及系统迁移备份等技巧，以外还包括各种常见MySQL故障等内容。
第4章：本章从关联分析基础讲起，逐步深入到OSSIM安全事件提取过程，介绍了常用的关联分析算法。还对报警事件的聚合原理作了详细分析，并结合OSSIM现状采用多个实例讲解关联规则和自定义策略的使用方法。
第5章：本章主要介绍各种OSSIM系统中的监控调试工具的使用，以及系统瓶颈的诊断方法。
第6章：本章重点介绍了Snort 原理和预处理程序发挥的作用，包括Snort报警方法。深入分析Snort规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。

3. 实战篇

第7章：本章从日志标准化和收集分析方法讲起，详细分析各种服务、网络设备所产生的日志，包括Apache、Ftp、Squid、Dhcp等，并通过实例详细介绍OSSIM插件开发过程。
第8章：本章讲解Netflow进行异常流量分析的方法，包括Netflow数据采集和过滤方法，介绍了分布式环境中，利用Netflow监测异常流量的技巧，同时针对OSSIM中Ntop、Nagios、Netflow三种检测工具的使用方法进行了对比。最后还介绍了Cacti和Zabbix第三方开源监控软件集成的方法。
第9章：本章从OSSIM控制管理中心角色权限控制讲起，全面介绍了OSSIM Web UI的结构，讲解了Ossec日志分析工具的配置使用和Ａgent的安装方法。介绍了OSSIM中管理网络资产的实例，并对Openvas扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM进行高级***检测的实例，以及利用OSSIM进行合规管理和系统统一报表输出的方法。
第10章：本章主要讲解基于Web方式下的抓包及数据包过滤方法，并采用该工具远程解决网络故障的方法，重点介绍了tshark、tcpdump等抓包工具的高级使用方法，最后以一个典型IE浏览器的0 day漏洞***的实例来检验这种工具所发挥的作用。

四、本书约定
（1）关于版本
本书软件的安装环境为Debian Linux 6.0（Squeeze），内核为2.6.32。在安装其他软件时，必须符合该版本要求。
（2）关于菜单的描述
OSSIM的前台界面复杂，书中经常会用一串带箭头的单词表达菜单的路径，例如Web UI 的Dashboards→Overview→Executive，表示Web界面下鼠标依次经过菜单Dashboards、Overview最后到达Executive仪表板。
（3）路径问题
本书中除特别说明，所涉及路径均指在OSSIM系统下的路径，而不是其他的Linux发行版。终端控制台指通过root登录系统，然后输入“ossim-setup”启动OSSIM终端控制台的界面&#