<內容簡介>

《開源安全運維平臺:OSSIM最佳實踐》內容簡介：在傳統的異構網絡環境中，運維人員往往利用各種覆雜的監管工具來管理網絡，由於缺乏一種集成安全運維平臺，當遇到故障時總是處於被動“救火”狀態，如何將資產管理、流量監控、漏洞管理、入侵監測、合規管理等重要環節，通過開源軟件集成到統一的平臺中，以實現安全事件關聯分析，可從《開源安全運維平臺:OSSIM最佳實踐》介紹的OSSIM平臺中找到答案。《開源安全運維平臺:OSSIM最佳實踐》借助作者在OSSIM領域長達10年開發應用實踐經驗之上，以大量生動實例闡述了基於插件收集日誌並實現標準化，安全事件規範化分類，關聯分析的精髓，書中為讀者展示的所有知識和實例均來自大型企業中覆雜的生產環境，並針對各種難題給出解決方案。
全書共分三篇，10章：第1篇（第1～2章）主要介紹OSSIM架構與工作原理、系統規劃、實施關鍵要素和過濾分析SIEM事件的要領。第二篇（第3～6章）主要介紹OSSIM所涉及的幾個後台數據庫，重點強調安全事件分類聚合、提取流程、關聯分析算法、Snort規則分析等技巧。第三篇（第7～10章）主要介紹日誌收集方法和標準化實現思路以及在OSSIM中用HIDS／NIDS、NetFlow抓包分析異常流量的方法，深入分析了OpenVAS架構和腳本分析方法。

<章節目錄>

第一篇 基礎篇
第1章 OSSIM架構與原理 3
1.1 OSSIM概況 3
1.1.1 從SIM到OSSIM 4
1.1.2 安全信息和事件管理（SIEM） 5
1.1.3 OSSIM的前世今生 6
1.2 OSSIM架構與組成 13
1.2.1 主要模塊的關系 14
1.2.2 安全插件（Plugins） 15
1.2.3 採集與監控插件的區別 17
1.2.4 檢測器（Detector） 20
1.2.5 代理（Agent） 20
1.2.6 報警格式的解碼 21
1.2.7 OSSIM Agent 22
1.2.8 代理與插件的區別 26
1.2.9 傳感器（Sensor） 26
1.2.10 關聯引擎 28
1.2.11 數據庫（Database） 30
1.2.12 Web 框架（Framework） 31
1.2.13 Ajax創建交互 32
1.2.14 歸一化處理 32
1.2.15 標準的安全事件格式 33
1.2.16 OSSIM服務埠 37
1.3 基於插件的日誌採集 39
1.3.1 安全事件分類 39
1.3.2 採集思路 39
1.4 Agent事件類型 44
1.4.1 普通日誌舉例 45
1.4.2 plugin_id一對多關系 45
1.4.3 MAC事件日誌舉例 47
1.4.4 操作系統事件日誌舉例 47
1.4.5 系統服務事件日誌舉例 47
1.5 RRDTool繪圖引擎 48
1.5.1 背景 49
1.5.2 RRD Tool與關系數據庫的不同 49
1.5.3 RRD繪圖流程 49
1.6 OSSIM工作流程 50
1.7 緩存與消息隊列 50
1.7.1 緩存系統 50
1.7.2 消息隊列處理 51
1.7.3 RabbitMQ 53
1.7.4 選擇Key／Value存儲 54
1.7.5 OSSIM下操作Redis 54
1.7.6 Redis Server配置詳解 57
1.7.7 RabbitMQ、Redis與Memcached監控 58
1.8 OSSIM 高可用架構 60
1.8.1 OSSIM高可用實現技術 60
1.8.2 安裝環境 62
1.8.3 配置本地主機 62
1.8.4 配置遠程主機 62
1.8.5 同步數據庫 63
1.8.6 同步本地文件 63
1.9 OSSIM防火墻 64
1.9.1 理解Filter機制 64
1.9.2 規則匹配過程 66
1.9.3 iptables規則庫管理 67
1.10 OSSIM的計劃任務 68
1.10.1 Linux計劃任務 68
1.10.2 OSSIM中的計劃任務 70
1.11 小結 72
第2章 OSSIM部署與安裝 73
2.1 OSSIM安裝策略 73
2.1.1 未授權行為 74
2.1.2 傳感器位置 75
2.2 分佈式OSSIM體系 75
2.2.1 特別應用 76
2.2.2 多IDS系統應用 76
2.3 安裝前的準備工作 77
2.3.1 軟硬件配備 77
2.3.2 傳感器部署 78
2.3.3 分佈式OSSIM系統探針佈局 80
2.3.4 OSSIM服務器的選擇 81
2.3.5 網卡的選擇 82
2.3.6 手動加載網卡驅動 83
2.3.7 採用多核還是單核CPU 83
2.3.8 查找硬件信息 84