论坛 › CU活动专区 › 【安全运维大讨论，参与有礼】用开源软件架构集成安全运维平台

cgweb 发表于 2016-06-06 15:15

【安全运维大讨论，参与有礼】用开源软件架构集成安全运维平台

本帖最后由 cgweb 于 2016-06-27 19:07 编辑

话题背景：
日常工作中，运维人员大部分时间和精力都用于处理简单、重复的问题，由于故障预警机制不完善，往往故障发生后才会进行处理，运维人员经常处于被动“救火”状态。

没有高效的管理工具支持，就很难快速处理故障。另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患。

下面讨论的话题以2016年新出版图书《开源安全运维平台OSSIM最佳实践》为背景，主要内容和目录请参考：http://blog.chinaunix.net/uid-59434-id-5472538.html

OSSIM PPT 内容： http://wenku.it168.com/d_001681494.shtml       http://tech.it168.com/a2016/0617/2716/000002716906.shtml

讨论话题：
1.谈谈SIEM（安全信息和事件管理）在安全运维中所起的作用（100字以上）。
2.谈谈企业SIEM选型经历，以及为什么选择OSSIM平台。（100字以上）
3.以图文方式详细讲解OSSIM系统安装部署步骤。
4.以图文方式讲述OSSIM平台下事件聚合和关联分析报警的案例。
5.以图文方式讲述在OSSIM平台上发现发现网络攻击的案例。
6.以图文方式讲述在OSSIM平台上进行漏洞扫描的案例


讨论时间：
2016-6-7至2016-7-7


活动奖励：
活动结束后，我们将会选取5个亮点回复，各送技术图书《开源安全运维平台：OSSIM最佳实践》一本。

http://images.china-pub.com/ebook4915001-4920000/4918382/zcover.jpg

作者： 李晨光   
出版社：清华大学出版社
ISBN：9787302423850
上架时间：2016-1-25
出版日期：2016 年1月
开本：16开
页码：648
版次：1-1
所属分类：计算机 > 安全 > 网络安全/防火墙/黑客

内容简介：
全书共分三篇，10章：第一篇（第1~2章）主要介绍OSSIM架构与工作原理、系统规划、实施关键要素和过滤分析SIEM事件的要领。第二篇（第3~6章）主要介绍OSSIM所涉及的几个后台数据库，重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧。第三篇（第7~10章）主要介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、NetFlow抓包分析异常流量的方法，深入分析了OpenVAS架构和脚本分析方法。本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。该书已获中国科学院图书馆、国家图书馆、清华、北大等一流大学图书馆收录。

样章试读：
http://wenku.it168.com/d_001656004.shtml

购书地址：
京东自营店：http://item.jd.com/11871562.html
当当自营店：http://product.dangdang.com/23903741.html

视频指南：看我用OSSIM

[*]服务器安装OSSIM
[*]OSSIM操作入门视频
[*]首次登录WebUI配置
[*]扫描某网段中的资产设备
[*]集成Ntop和OCS-Ng功能展示
[*]架设分布式OSSIM
[*]漏洞扫描案例    升级漏洞库
[*]基于Web的远程抓包分析
[*]让SSH暴力破解攻击可视化
[*]用Ossim检测shellcode攻击
[*]策略管理


实验ISO镜像下载

采用VMware workstations 10以上、虚拟机分配磁盘20GB以上、内存1GB以上、至少一块网卡、即可开始实验。

OSSIM 2.3.1 32位平台 ISO下载

shang2010 发表于 2016-06-07 16:25

现在很多技术都是建立在开源平台上的

jelon521 发表于 2016-06-07 19:02

想要可以像windows操作那样的界面，这样一些简单的东西就不需要命令去操作了

jelon521 发表于 2016-06-07 19:03

想要可以像windows操作那样的界面，这样一些简单的东西就不需要命令去操作了

vermouth 发表于 2016-06-08 13:50

处理过多重复工作，应该是自动化做的不够
多数人眉目很少，或者没有去钻研某种技术或者工具
有人提点，或者有个方向好一些

——上面好像说的我自己。。。

testkaoy 发表于 2016-06-11 08:06

OSSIM集成了很多开源工具，功能强大。

gaoyp27 发表于 2016-06-13 11:29

瑞士军刀啊！而且有cmdb的功能，各类常见工具已插件形式提供！

testkaoy 发表于 2016-06-14 12:46

本帖最后由 testkaoy 于 2016-06-14 13:52 编辑

这几天在部署OSSIM，安装方法截图如下：
在三层交换机上，设置好SPAN。开始安装啦
http://chuantu.biz/t5/9/1465877524x3738746583.jpg

选择菜单第一项。也可以跳过这个向导。
然后可以进入系统选择中文界面。

sdhs5348 发表于 2016-06-14 15:17

回复 8# testkaoy
小版本更新好快啊。 2月份我部署的时候还是5.2.1

   

testkaoy 发表于 2016-06-14 15:18

是啊，每个月都升级补丁，跟新快。

查看完整版本: 【安全运维大讨论，参与有礼】用开源软件架构集成安全运维平台