Chinaunix

标题: 【安全运维大讨论，参与有礼】用开源软件架构集成安全运维平台 [打印本页]

---

作者: cgweb    时间: 2016-06-06 15:15
标题: 【安全运维大讨论，参与有礼】用开源软件架构集成安全运维平台


话题背景：
日常工作中，运维人员大部分时间和精力都用于处理简单、重复的问题，由于故障预警机制不完善，往往故障发生后才会进行处理，运维人员经常处于被动“救火”状态。

没有高效的管理工具支持，就很难快速处理故障。另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患。

下面讨论的话题以2016年新出版图书《开源安全运维平台OSSIM最佳实践》为背景，主要内容和目录请参考：http://blog.chinaunix.net/uid-59434-id-5472538.html

OSSIM PPT 内容： http://wenku.it168.com/d_001681494.shtml       http://tech.it168.com/a2016/0617/2716/000002716906.shtml

讨论话题：
1.谈谈SIEM（安全信息和事件管理）在安全运维中所起的作用（100字以上）。
2.谈谈企业SIEM选型经历，以及为什么选择OSSIM平台。（100字以上）
3.以图文方式详细讲解OSSIM系统安装部署步骤。
4.以图文方式讲述OSSIM平台下事件聚合和关联分析报警的案例。
5.以图文方式讲述在OSSIM平台上发现发现网络攻击的案例。
6.以图文方式讲述在OSSIM平台上进行漏洞扫描的案例


讨论时间：
2016-6-7至2016-7-7


活动奖励：
活动结束后，我们将会选取5个亮点回复，各送技术图书《开源安全运维平台：OSSIM最佳实践》一本。



作者： 李晨光   
出版社：清华大学出版社
ISBN：9787302423850
上架时间：2016-1-25
出版日期：2016 年1月
开本：16开
页码：648
版次：1-1
所属分类：计算机 > 安全 > 网络安全/防火墙/黑客

内容简介：
全书共分三篇，10章：第一篇（第1~2章）主要介绍OSSIM架构与工作原理、系统规划、实施关键要素和过滤分析SIEM事件的要领。第二篇（第3~6章）主要介绍OSSIM所涉及的几个后台数据库，重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧。第三篇（第7~10章）主要介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、NetFlow抓包分析异常流量的方法，深入分析了OpenVAS架构和脚本分析方法。本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。该书已获中国科学院图书馆、国家图书馆、清华、北大等一流大学图书馆收录。

样章试读：
http://wenku.it168.com/d_001656004.shtml

购书地址：
京东自营店：http://item.jd.com/11871562.html
当当自营店：http://product.dangdang.com/23903741.html

视频指南：看我用OSSIM

• 服务器安装OSSIM
• OSSIM操作入门视频
• 首次登录WebUI配置
• 扫描某网段中的资产设备
• 集成Ntop和OCS-Ng功能展示
• 架设分布式OSSIM
• 漏洞扫描案例      升级漏洞库
• 基于Web的远程抓包分析
• 让SSH暴力破解攻击可视化
• 用Ossim检测shellcode攻击
• 策略管理
  

实验ISO镜像下载

采用VMware workstations 10以上、虚拟机分配磁盘20GB以上、内存1GB以上、至少一块网卡、即可开始实验。

OSSIM 2.3.1 32位平台 ISO下载

---

作者: shang2010    时间: 2016-06-07 16:25
现在很多技术都是建立在开源平台上的

---

作者: jelon521    时间: 2016-06-07 19:02
想要可以像windows操作那样的界面，这样一些简单的东西就不需要命令去操作了

---

作者: jelon521    时间: 2016-06-07 19:03
想要可以像windows操作那样的界面，这样一些简单的东西就不需要命令去操作了

---

作者: vermouth    时间: 2016-06-08 13:50
处理过多重复工作，应该是自动化做的不够
多数人眉目很少，或者没有去钻研某种技术或者工具
有人提点，或者有个方向好一些

——上面好像说的我自己。。。

---

作者: testkaoy    时间: 2016-06-11 08:06
OSSIM集成了很多开源工具，功能强大。

---

作者: gaoyp27    时间: 2016-06-13 11:29
瑞士军刀啊！而且有cmdb的功能，各类常见工具已插件形式提供！

---

作者: testkaoy    时间: 2016-06-14 12:46


这几天在部署OSSIM，安装方法截图如下：
在三层交换机上，设置好SPAN。开始安装啦


选择菜单第一项。也可以跳过这个向导。
然后可以进入系统选择中文界面。

---

作者: sdhs5348    时间: 2016-06-14 15:17
回复 8# testkaoy
小版本更新好快啊。 2月份我部署的时候还是5.2.1

   

---

作者: testkaoy    时间: 2016-06-14 15:18
是啊，每个月都升级补丁，跟新快。

---

作者: Fl_wolf    时间: 2016-06-15 16:11
占楼代答

---

作者: laputa73    时间: 2016-06-16 20:55
看目录，很复杂的样子。
搜了一下，发现有些页面介绍比较详细
http://chenguang.blog.51cto.com/350944/1636741
http://my.oschina.net/chenguang/blog/514130?p={{page}}
http://www.2cto.com/Article/201401/271134.html
看起来，ossim确实功能比较强大。

---

作者: testkaoy    时间: 2016-06-17 09:29
OSSIM组成

---

作者: 开源将军    时间: 2016-06-18 00:03
我只能说开源平台的网络安全组建，就好比瑞士军刀，特别多元化，如果选择其中几个模块，专一精通之后，玩转LINUX网络安全，完全没有任何问题，关键是你是不是能够坚持下来。

---

作者: cgweb    时间: 2016-06-20 16:03


OSSIM 功能及应用幻灯PPT内容：http://wenku.it168.com/d_001681494.shtml

---

作者: action08    时间: 2016-06-22 01:18
OSSIM感觉是基于debian的

请问debian 能否直接安装相关的包，享受OSSIM部分或者服务呢？？

---

作者: cgweb    时间: 2016-06-22 11:04
@action08OSSIM是基于Debian Linux而开发的一套大数据安全分析平台，所以可以直接安装符合Debian的软件包管理器的所有包，默认系统是最优化的架构，如果自己安装其他包确保整个系统生态的平衡。

---

作者: action08    时间: 2016-06-22 22:28
回复 17# cgweb


    恩，了解，谢谢专家解答

---

作者: action08    时间: 2016-06-22 22:41
现在岁数大了，老了，人也不爱折腾学习了

---

作者: agh353272297    时间: 2016-06-25 23:11
1.谈谈SIEM（安全信息和事件管理）在安全运维中所起的作用（100字以上）。
1)最早出现安全信息和时间管理前，是通过日志管理，收集日志分析日志。进行分析日志来对系统按进行分析管理。从而再事件的演变中，产生了安全信息及时间管理。这样更细化了系统的安全性。
2)安全信息及事件管理都是基于日志的收集、管理、分析、审计的一种技术方式

2.谈谈企业SIEM选型经历，以及为什么选择OSSIM平台。（100字以上）
选型：
许可证:产品过去后，功能受到限制
扩展性:在公司业务增加后，能适应业务增长带来的需求扩展，对事件的分析及日志增长的需求扩张
日志兼容性：能兼容各种日志的格式条目

为什么选择OSSIM平台：
1)开源
2)能够实现安全监控基础平台
3)提供集中管理，能够监测和显示框架式系统等

3.以图文方式详细讲解OSSIM系统安装部署步骤。
部署抽个时间在上了。最近挺忙的，没时间搞一下步骤了。就回答这些吧。

---

作者: doopney    时间: 2016-06-29 01:30
新手启程，大家好

---

作者: testkaoy    时间: 2016-06-29 09:51
最近又有些进展，稍后贴图上

---

作者: chenyx    时间: 2016-07-05 08:08
1.谈谈SIEM（安全信息和事件管理）在安全运维中所起的作用（100字以上）。
  系统信息安全是运维的重中之重,系统安全是整个系统运维的核心内容.
  SIEM的作用是通过分析系统日志,进行趋势分析,对已经造成或者正在进行的攻击进行判断,帮助运维人员系统性的分析存在的风险,制定相应的策略,保证系统安全平稳运行.

2.谈谈企业SIEM选型经历，以及为什么选择OSSIM平台。（100字以上）
  选择OSSIM平台,主要是因为其开源,可靠,部署也比较简单.
  另外,OSSIM有很多的插件,通过插件可以和其他开源监控软件整合,功能进一步强大.

3.4.5.6
  楼主在一楼有很多例子,照着做就可以了.

---

作者: chenyx    时间: 2016-07-05 08:09
现在,很多企业开始使用或者正在部署开源平台,开源平台的前景是很光明的,运维人员的前途也是水涨船高.

---

作者: 开源将军    时间: 2016-07-13 10:24
开源平台虽好，但是售后简直跟不上，技术论坛的援助虽强，但是可利用性不高

---

作者: testkaoy    时间: 2016-07-13 14:58
请问什么时候开奖?

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2