開源安全運維平臺 OSSIM 疑難解析 (入門篇)

李晨光，UNIX／Linux系統安全專家、中國計算機學會高級會員，寫作了多本暢銷的計算機圖書，同時還是51CTO、ChinaUnix、OSChina等社區的專家博主，撰寫的技術博文被國內各大IT技術社區廣泛轉載，還曾多次受邀在國內系統架構師大會和網絡信息安全大會上發表技術演講。

第1章 SIEM與網絡安全態勢感知
Q001 什麽是SIEM？
Q002 SIEM處理流程是什麽？
Q003 SIEM基本特徵分為幾個部分，技術門檻是什麽，有哪些商業產品？
Q004 SIEM中的安全運維模塊包含哪些主要內容？
Q005 為什麽要選擇OSSIM作為運維監控平臺？
Q006 在OSSIM架構中為何要引入威脅情報系統？
Q007 在OSSIM中OTX代表什麽含義？
Q008 為什麽要對IP進行信譽評級？
Q009 如何激活OTX功能？
Q010 如何手動更新IP信譽數據並查看這些數據？
Q011 如何讀懂IP信譽數據庫的記錄格式？
Q012 為什麽在瀏覽器中無法顯示由谷歌地圖繪制的AlienVaultIP信譽數據？
Q013 OSSIM使用的Google Maps API在什麽位置？
Q014 在OSSIM系統中成功添加OTX key之後，為何儀表盤上沒有顯示？
Q015 將已申請的OTX key導入OSSIM系統時，為何提示連接失敗？
Q016 外部威脅情報和內部威脅情報分別來自何處？
Q017 如何利用OSSIM系統內置的威脅情報識別網絡APT攻擊事件？
Q018 OpenSOC的組成結構和主要功能是什麽，它和OSSIM之間的區別是什麽？
Q019 Apache Metron是新生代的OpenSOC嗎？部署難度大嗎？
第2章 OSSIM部署基礎
Q020 OSSIM主要版本的演化過程是怎樣的？
Q021 如何關閉和重啟OSSIM？
Q022 OSSIM屬於大數據平臺嗎？
Q023 OSSIM能作為堡壘機使用嗎？
Q024 堡壘機的Syslog日誌能否轉發至OSSIM統一存儲？
Q025 OSSIM平臺屬於CPU密集型、I/O密集型還是內存密集型系統？
Q026 OSSIM平臺開發了哪些專屬程序？
Q027 Kali Linux和OSSIM有什麽區別？
Q028 安裝OSSIM服務器組件時是否包含了傳感器組件？
Q029 OSSIM能否安裝在XEN或KVM虛擬化系統上？
Q030 OSSIM如何處理海量數據？
Q031 OSSIM是基於Debian Linux開發的，能否將其安裝在其他Linux發行版上，例如RHAS、CentOS、SUSE Linux？
Q032 分佈式OSSIM系統傳感器如何部署？
Q033 OSSIM可輸出的報表有哪些類型？
Q034 在OSSIM 3中通過什麽技術可實現報表預覽功能？
Q035 OSSIM企業版中可輸出哪些類型的報表？
Q036 OSSIM能否用於APT和ShellCode高級攻擊檢測？
Q037 如何部署分佈式OSSIM平臺？
Q038 OSSIM系統中哪些服務是單線程，哪些服務是多線程？
Q039 如何查看ossim-agent進程正在調用的文件？
Q040 在分佈式環境中如何添加傳感器？
Q041 為何新添加的傳感器在Web UI上無法顯示NetFlow流？
Q042 如何查看某個進程打開了哪些文件？
Q043 如何監聽系統中某個用戶的網絡活動？
Q044 OSSIM經過防火墻時，需要打開哪些埠？
第3章 安裝OSSIM服務器
Q045 如何通過U盤安裝OSSIM系統？
Q046 如何克隆OSSIM虛擬機以及為虛擬機設置克隆？
……
第4章 OSSIM系統維護與管理
第5章 OSSIM組成結構
第6章 傳感器
第7章 插件處理
第8章 SIEM控制台操作
第9章 可視化報警
第10章 OSSIM數據庫
附錄1 主要配置文件註釋
附錄2 OSSIM 5 Web界面菜單功能註釋
附錄3 終端控制台程序註釋
附錄4 關鍵詞匯英漢對照