開(kāi)源安全運(yùn)維平臺(tái)OSSIM疑難解析 入門(mén)篇

第 1章　SIEM與網(wǎng)絡(luò)安全態(tài)勢(shì)感知 1
Q001　什么是SIEM？ 1
Q002　SIEM處理流程是什么？ 1
Q003　SIEM基本特征分為幾個(gè)部分，技術(shù)門(mén)檻是什么，有哪些商業(yè)產(chǎn)品？ 2
Q004　SIEM中的安全運(yùn)維模塊包含哪些主要內(nèi)容？ 3
Q005　為什么要選擇OSSIM作為運(yùn)維監(jiān)控平臺(tái)？ 4
Q006　在OSSIM架構(gòu)中為何要引入威脅情報(bào)系統(tǒng)？ 8
Q007　在OSSIM中OTX代表什么含義？ 9
Q008　為什么要對(duì)IP進(jìn)行信譽(yù)評(píng)級(jí)？ 9
Q009　如何激活OTX功能？ 9
Q010　如何手動(dòng)更新IP信譽(yù)數(shù)據(jù)并查看這些數(shù)據(jù)？ 11
Q011　如何讀懂IP信譽(yù)數(shù)據(jù)庫(kù)的記錄格式？ 11
Q012　為什么在瀏覽器中無(wú)法顯示由谷歌地圖繪制的AlienVaultIP信譽(yù)數(shù)據(jù)？ 12
Q013　OSSIM使用的Google Maps API在什么位置？ 12
Q014　在OSSIM系統(tǒng)中成功添加OTX key之后，為何儀表盤(pán)上沒(méi)有顯示？ 12
Q015　將已申請(qǐng)的OTX key導(dǎo)入OSSIM系統(tǒng)時(shí)，為何提示連接失??？ 13
Q016　外部威脅情報(bào)和內(nèi)部威脅情報(bào)分別來(lái)自何處？ 14
Q017　如何利用OSSIM系統(tǒng)內(nèi)置的威脅情報(bào)識(shí)別網(wǎng)絡(luò)APT攻擊事件？ 15
Q018　OpenSOC的組成結(jié)構(gòu)和主要功能是什么，它和OSSIM之間的區(qū)別是什么？ 15
Q019　Apache Metron是新生代的OpenSOC嗎？部署難度大嗎？ 17
第 2章　OSSIM部署基礎(chǔ) 20
Q020　OSSIM主要版本的演化過(guò)程是怎樣的？ 20
Q021　如何關(guān)閉和重啟OSSIM？ 23
Q022　OSSIM屬于大數(shù)據(jù)平臺(tái)嗎？ 24
Q023　OSSIM能作為堡壘機(jī)使用嗎？ 24
Q024　堡壘機(jī)的Syslog日志能否轉(zhuǎn)發(fā)至OSSIM統(tǒng)一存儲(chǔ)？ 25
Q025　OSSIM平臺(tái)屬于CPU密集型、I/O密集型還是內(nèi)存密集型系統(tǒng)？ 25
Q026　OSSIM平臺(tái)開(kāi)發(fā)了哪些專屬程序？ 26
Q027　Kali Linux和OSSIM有什么區(qū)別？ 27
Q028　安裝OSSIM服務(wù)器組件時(shí)是否包含了傳感器組件？ 28
Q029　OSSIM能否安裝在XEN或KVM虛擬化系統(tǒng)上？ 29
Q030　OSSIM如何處理海量數(shù)據(jù)？ 29
Q031　OSSIM是基于Debian Linux開(kāi)發(fā)的，能否將其安裝在其他Linux發(fā)行版上，例如RHAS、CentOS、SUSE Linux？ 29
Q032　分布式OSSIM系統(tǒng)傳感器如何部署？ 29
Q033　OSSIM可輸出的報(bào)表有哪些類型？ 30
Q034　在OSSIM 3中通過(guò)什么技術(shù)可實(shí)現(xiàn)報(bào)表預(yù)覽功能？ 31
Q035　OSSIM企業(yè)版中可輸出哪些類型的報(bào)表？ 31
Q036　OSSIM能否用于APT和ShellCode高級(jí)攻擊檢測(cè)？ 32
Q037　如何部署分布式OSSIM平臺(tái)？ 34
Q038　OSSIM系統(tǒng)中哪些服務(wù)是單線程，哪些服務(wù)是多線程？ 34
Q039　如何查看ossim-agent進(jìn)程正在調(diào)用的文件？ 35
Q040　在分布式環(huán)境中如何添加傳感器？ 36
Q041　為何新添加的傳感器在Web UI上無(wú)法顯示NetFlow流？ 38
Q042　如何查看某個(gè)進(jìn)程打開(kāi)了哪些文件？ 41
Q043　如何監(jiān)聽(tīng)系統(tǒng)中某個(gè)用戶的網(wǎng)絡(luò)活動(dòng)？ 41
Q044　OSSIM經(jīng)過(guò)防火墻時(shí)，需要打開(kāi)哪些端口？ 42
第3章　安裝OSSIM服務(wù)器 45
Q045　如何通過(guò)U盤(pán)安裝OSSIM系統(tǒng)？ 45
Q046　如何克隆OSSIM虛擬機(jī)以及為虛擬機(jī)設(shè)置克??？ 45
Q047　在安裝OSSIM時(shí)，命令行下面的提示信息保存在什么位置？ 47
Q048　執(zhí)行alienvault-update命令升級(jí)后，為什么原來(lái)的配置會(huì)被覆蓋？ 48
Q049　執(zhí)行alienvault-update命令升級(jí)之后，緩存文件如何清除？ 48
Q050　如何選擇OSSIM服務(wù)器？ 48
Q051　安裝OSSIM時(shí)能識(shí)別硬盤(pán)，但無(wú)法識(shí)別網(wǎng)卡，該如何處理？ 49
Q052　選擇OSSIM服務(wù)器硬件時(shí)，需要注意些什么問(wèn)題？ 49
Q053　安裝OSSIM時(shí)需要插網(wǎng)線嗎？ 50
Q054　初裝OSSIM時(shí)僅配置了單塊網(wǎng)卡，后期需要再新增一塊網(wǎng)卡，該如何操呢？ 50
Q055　安裝OSSIM時(shí)需要選擇多核CPU還是單核CPU？CPU內(nèi)核的數(shù)量越多越好嗎？ 51
Q056　如何為OSSIM服務(wù)器/傳感器選擇網(wǎng)卡？ 51
Q057　OSSIM為何只能識(shí)別出2TB以內(nèi)的硬盤(pán)？ 52
Q058　如何在OSSIM下安裝GCC編譯工具？ 52
Q059　如何手動(dòng)加載網(wǎng)卡驅(qū)動(dòng)？ 52
Q060　在虛擬機(jī)下安裝OSSIM結(jié)束后重啟系統(tǒng)，結(jié)果系統(tǒng)一直停在啟動(dòng)界面，這該如何處理？ 53
Q061　OSSIM安裝完成后，如何設(shè)置Web UI來(lái)初始化設(shè)置向?qū)В?53
Q062　如何通過(guò)CSV格式的文件導(dǎo)入多個(gè)網(wǎng)段信息？ 58
Q063　如何通過(guò)文件導(dǎo)入網(wǎng)絡(luò)資產(chǎn)？ 59
Q064　在OSSIM配置向?qū)е?，?bào)告無(wú)法找到網(wǎng)段內(nèi)的服務(wù)器，該如何處理？ 60
Q065　如何再次調(diào)出Web UI初始化配置向?qū)В?60
Q066　如果跳過(guò)了Web配置向?qū)?，如何通過(guò)Web界面安裝OSSEC Agent？ 61
Q067　在Hyper-V 3．0中安裝OSSIM 5．4時(shí)，在Suricata配置過(guò)程中“卡住了”該如何
處理？ 62
Q068　如何查看OSSIM的GRUB程序版本？ 63
Q069　OSSIM系統(tǒng)中的IPMI服務(wù)有什么作用？為什么在虛擬機(jī)啟動(dòng)OSSIM時(shí)會(huì)
遇到IPMI服務(wù)啟動(dòng)失敗的問(wèn)題？ 63
Q070　如采用要混合式安裝方式來(lái)安裝OSSIM，在安裝界面中應(yīng)選擇哪一項(xiàng)？ 64
Q071　如何進(jìn)入OSSIM高級(jí)安裝模式？ 64
Q072　在虛擬機(jī)下安裝OSSIM時(shí)無(wú)法找到磁盤(pán)，應(yīng)如何處理？ 65
Q073　在VMware虛擬機(jī)環(huán)境中，如何為OSSIM安裝VMware Tools增強(qiáng)工具？ 65
Q074　初學(xué)者如何正確選擇虛擬機(jī)版本？ 67
Q075　如何嗅探虛擬機(jī)流量？ 68
Q076　在VMware ESXi虛擬機(jī)環(huán)境中安裝OSSIM時(shí)應(yīng)注意哪些內(nèi)容？ 69
Q077　遺忘Web UI登錄密碼后如何將其恢復(fù)？ 70
Q078　如何在Hyper-V虛擬機(jī)下安裝OSSIM？ 71
Q079　在Hyper-V虛擬機(jī)中如何嗅探網(wǎng)絡(luò)流量？ 77
Q080　采用筆記本電腦安裝OSSIM時(shí)，如何防止其休眠？ 77
Q081　如何將負(fù)載分?jǐn)傇诙鄠€(gè)傳感器上？ 78
Q082　為什么不建議通過(guò)USB設(shè)備安裝OSSIM系統(tǒng)？ 79
Q083　為什么在安裝OSSIM 5的過(guò)程中不提示用戶分區(qū)？ 79
Q084　虛擬機(jī)環(huán)境下常見(jiàn)的OSSIM安裝錯(cuò)誤有哪些？ 80
第4章　OSSIM系統(tǒng)維護(hù)與管理 87
Q085　如何離線升級(jí)OSSIM？ 87
Q086　如何通過(guò)代理服務(wù)器升級(jí)系統(tǒng)？ 87
Q087　OSSIM升級(jí)過(guò)程中出現(xiàn)的Ign、Hit、Get分別代表什么含義？ 88
Q088　在OSSIM中，update和upgrade參數(shù)有何區(qū)別？ 88
Q089　如何確保分布式OSSIM系統(tǒng)的安全？ 89
Q090　若在OSSIM服務(wù)器上啟用SELinux服務(wù)，后果會(huì)如何？ 90
Q091　OSSIM儀表盤(pán)典型視圖分為幾類，各有何特點(diǎn)？ 90
Q092　通過(guò)OSSIM 4．3能直接升級(jí)到OSSIM 5．4嗎？ 92
Q093　如何定制OSSIM系統(tǒng)的啟動(dòng)畫(huà)面？ 92
Q094　OSSIM系統(tǒng)中的server．log日志文件有什么作用？如果此文件增漲到10GB以上，該如何處理？ 92
Q095　apt-get的常見(jiàn)用途有哪些？ 93
Q096　OSSIM中的IDM表示什么含義？如何啟動(dòng)IDM服務(wù)？ 94
Q097　開(kāi)源OSSIM系統(tǒng)所使用的文件系統(tǒng)是什么，有什么局限性？ 94
Q098　當(dāng)OSSIM的數(shù)據(jù)庫(kù)受損時(shí)，如何恢復(fù)OSSIM？ 95
Q099　為什么在OSSIM 3．1系統(tǒng)上輸入ossim-update命令進(jìn)行升級(jí)后OCS模塊會(huì)
消失？ 96
Q100　OSSIM消息中心為什么總顯示互聯(lián)網(wǎng)連接中斷？ 97
Q101　OSSIM系統(tǒng)的軟件包中包含amd64字樣，這表示什么含義？ 97
Q102　如何將Tickets加入知識(shí)庫(kù)？ 98
Q103　如何管理OSSIM系統(tǒng)服務(wù)？ 100
Q104　OSSIM系統(tǒng)當(dāng)使用alienvault-update升級(jí)后．deb文件位于何處？升級(jí)過(guò)程中報(bào)錯(cuò)
怎么辦？ 101
Q105　如何校驗(yàn)已安裝的Debian軟件包？ 101
Q106　OSSIM下有什么好用的包管理器嗎？ 102
Q107　在OSSIM系統(tǒng)中如何分配tmpfs文件系統(tǒng)的大小？ 103
Q108　OSSIM系統(tǒng)如何同步時(shí)間？ 103
Q109　如何通過(guò)刪除日志的方式來(lái)釋放OSSIM平臺(tái)上的磁盤(pán)空間？ 103
Q110　如何檢測(cè)OSSIM系統(tǒng)整體的健康狀態(tài)？ 105
Q111　如何記錄Web UI中SQL查詢?nèi)罩拘畔⒌那闆r？這些內(nèi)容在何處？ 105
Q112　如何禁止系統(tǒng)向root用戶發(fā)送電子郵件？ 105
Q113　可使用什么命令來(lái)查詢UUID號(hào)？ 106
Q114　智能移動(dòng)終端如何訪問(wèn)OSSIM？ 106
Q115　如何修改OSSIM登錄的超時(shí)時(shí)間？ 107
Q116　如何調(diào)整OSSIM系統(tǒng)管理員的密碼登錄策略？ 108
Q117　如何允許/禁止root通過(guò)SSH登錄OSSIM系統(tǒng)？ 108
Q118　如何安裝Gnome和Fvwm桌面環(huán)境？ 108
Q119　如何進(jìn)入OSSIM系統(tǒng)的單用戶模式？ 108
Q120　忘記root密碼怎么辦？ 110
Q121　在分布式OSSIM系統(tǒng)環(huán)境中如何啟動(dòng)和關(guān)閉系統(tǒng)？ 111
Q122　如何設(shè)置郵件報(bào)警 112
Q123　如何校驗(yàn)OSSIM中安裝的軟件包？ 113
Q124　在使用apt-get install安裝軟件的過(guò)程中強(qiáng)行中斷安裝，結(jié)果下次再執(zhí)行安裝
腳本時(shí)報(bào)告數(shù)據(jù)庫(kù)錯(cuò)誤，這該如何解決？ 113
Q125　使用apt-get install安裝程序時(shí)遇到了“Could not get lock/var/lib/dpkg/lock”提示，這是由于什么原因造成的？ 114
Q126　OSSIM系統(tǒng)中/var/run/目錄下的pid文件有什么作用？ 114
Q127　如何更改OSSIM默認(rèn)的網(wǎng)絡(luò)接口？ 115
Q128　在OSSIM系統(tǒng)中如何尋找和終止僵尸進(jìn)程（zombie）？ 115
Q129　OSSIM在哪些地方會(huì)消耗大量?jī)?nèi)存？ 116
Q130　如何查看admin用戶活動(dòng)的詳細(xì)信息？ 116
Q131　如何查看當(dāng)前登錄到OSSIM系統(tǒng)中的用戶的Session ID？ 117
Q132　如何將本地光盤(pán)設(shè)置為軟件源？ 118
Q133　當(dāng)使用crontab –e編輯時(shí)，無(wú)法退出編輯環(huán)境，這如何處理？ 118
Q134　如何開(kāi)啟OSSIM的Cron日志？ 119
Q135　UUID在OSSIM系統(tǒng)中有什么用途？ 119
Q136　OSSIM中如何安裝X-window環(huán)境 120
Q137　OSSIM如何防止關(guān)鍵進(jìn)程停止？ 121
Q138　OSSIM會(huì)將信息發(fā)送到外網(wǎng)嗎？ 121
Q139　OSSIM平臺(tái)如何修復(fù)包的依賴關(guān)系？ 123
Q140　異常關(guān)機(jī)會(huì)對(duì)OSSIM平臺(tái)產(chǎn)生哪些影響？ 123
Q141　刪除OSSIM系統(tǒng)里的文件時(shí)，磁盤(pán)空間不釋放應(yīng)如何處理？ 124
Q142　如何手動(dòng)修改服務(wù)器IP地址？ 124
Q143　如何消除終端控制臺(tái)上的登錄菜單？ 124
Q144　在低版本的OSSIM中，如何讓控制臺(tái)支持高分辨率？ 125
Q145　如何查看防火墻規(guī)則？ 125
Q146　如何解決時(shí)間不同步的問(wèn)題？ 126
Q147　OSSIM在最后的安裝階段為什么會(huì)停滯不前？ 126
Q148　如何配置OSSIM服務(wù)器與傳感器之間的VPN連接？ 127
Q149　如何重裝傳感器？ 129
Q150　如何安裝并配置多個(gè)傳感器？ 129
Q151　如何為OSSIM安裝Webmin管理工具？ 135
Q152　如何為OSSIM安裝phpMyAdmin工具？ 137
Q153　傳感器中用于抓包的網(wǎng)卡需要分配IP嗎？ 139
Q154　如何將HTTP重定向?yàn)镠TTPS訪問(wèn)？ 139
Q155　在OSSIM的Web UI登錄界面中，在登錄驗(yàn)證前用戶名和密碼是如何
加密的？ 139
Q156　在OSSIM登錄界面中如何實(shí)現(xiàn)用戶Session登錄驗(yàn)證的安全性？ 140
Q157　如何定制Apache 404頁(yè)面？ 140
Q158　OSSIM系統(tǒng)每次啟動(dòng)時(shí)為什么顯示“apache2 [warn] NameVirtualHost *：80 has no
VirtualHosts”？ 140
Q159　Apache中出現(xiàn)“Could not reliably determine the server’s fully qualified domain name”提示時(shí)，應(yīng)如何處理？ 141
Q160　遷移OSSIM系統(tǒng)時(shí)需要備份哪些數(shù)據(jù)？ 141
Q161　在OSSIM中，PCI DSS和ISO 27001代表什么含義？ 142
Q162　如何輸出30天內(nèi)的資產(chǎn)可用性報(bào)告？ 143
Q163　如何使用grep命令去掉配置文件的注釋行和空格行？ 143
Q164　如何生成一個(gè)指定大小的文件？ 144
Q165　如何在服務(wù)器/傳感器中發(fā)現(xiàn)隱藏的進(jìn)程或端口？ 144
Q166　如何解決因系統(tǒng)索引節(jié)點(diǎn)（inode）耗盡而引發(fā)的系統(tǒng)故障？ 145
Q167　OSSIM系統(tǒng)是如何實(shí)現(xiàn)高可用性的？ 147
Q168　OSSIM服務(wù)器如何橫向擴(kuò)展？ 151
第5章　OSSIM組成結(jié)構(gòu) 157
Q169　OSSIM開(kāi)源框架的分層處理架構(gòu)是什么？ 157
Q170　OSSIM系統(tǒng)框架中各模塊的工作流程是怎樣的？ 158
Q171　OSSIM采用模塊化架構(gòu)的優(yōu)勢(shì)是什么？ 160
Q172　根據(jù)OSSIM部署圖來(lái)分析OSSIM多層體系結(jié)構(gòu)是怎樣的？ 161
Q173　如果分布式OSSIM系統(tǒng)的傳感器出現(xiàn)問(wèn)題，會(huì)影響哪些模塊的工作？ 162
Q174　OSSIM的工作流程包括哪些內(nèi)容？ 162
Q175　配置文件/etc/ossim/ossim_setup．conf中記錄了哪些內(nèi)容？ 163
Q176　傳感器上的采集插件與監(jiān)控插件有什么區(qū)別？ 163
Q177　OSSIM免費(fèi)版和商業(yè)版有哪些主要區(qū)別？ 166
Q178　OSSIM中的SPADE有什么作用？ 167
Q179　OSSIM代理的作用是什么？ 168
Q180　代理與插件有什么區(qū)別？ 169
Q181　Framework有什么作用，如何查看其工作狀態(tài)？ 169
Q182　修改OSSIM服務(wù)器配置文件config．xml后如何重新啟動(dòng)引擎？ 170
Q183　Agent程序采集的日志中的各個(gè)字段表示什么含義？ 170
Q184　在混合式OSSIM服務(wù)器模式與傳感器安裝模式中，它們安裝的包有哪些
區(qū)別？ 171
Q185　OSSIM服務(wù)器和傳感器的通信端口有哪些，其作用是什么？ 173
Q186　如何增刪系統(tǒng)的數(shù)據(jù)源插件？ 175
Q187　如何列出OSSIM分布式系統(tǒng)的活動(dòng)代理信息？ 175
Q188　如何將SIEM中顯示的攻擊日志添加到數(shù)據(jù)源組中？ 175
Q189　如何使用Tickets？ 176
Q190　Alarms與Tickets有什么區(qū)別？ 177
Q191　在OSSIM報(bào)警中對(duì)網(wǎng)絡(luò)攻擊模式如何分類？ 178
Q192　Ansible使用什么協(xié)議通信？ 180
Q193　SSH和Ansible服務(wù)在OSSIM中起到什么作用？ 180
Q194　如何建立基于OpenSSL的安全認(rèn)證中心？ 182
Q195　如何在OSSIM中設(shè)置VPN連接？ 183
Q196　OSSIM中定義的未授權(quán)行為包括哪些？ 185
第6章　傳感器 187
Q197　OSSIM傳感器的作用是什么，如何查看傳感器的狀態(tài)？ 187
Q198　當(dāng)傳感器發(fā)生故障時(shí)能否查詢傳感器上加載插件的狀態(tài)？ 187
Q199　傳感器能以串聯(lián)方式部署在網(wǎng)絡(luò)中嗎？ 189
Q200　如何通過(guò)傳感器掃描資產(chǎn)？ 189
Q201　如何查看分布式系統(tǒng)的傳感器狀態(tài)？ 189
Q202　如何讓Ansible獲取遠(yuǎn)程主機(jī)運(yùn)行時(shí)間、在線用戶及平均負(fù)載信息？ 191
Q203　如何通過(guò)Ansible將腳本分發(fā)到遠(yuǎn)程主機(jī)并執(zhí)行？ 192
Q204　為何會(huì)出現(xiàn)傳感器刪除失敗的情況？ 193
Q205　OSSIM消息中心將數(shù)據(jù)源分為幾類，它們的含義是什么？ 193
第7章　插件處理 198
Q206　OSSIM中的數(shù)據(jù)源插件如何將日志轉(zhuǎn)換為安全事件，以實(shí)現(xiàn)統(tǒng)一存儲(chǔ)？ 198
Q207　OSSIM代理如何將采集的日志發(fā)送到OSSIM服務(wù)器？ 200
Q208　OSSIM采用什么技術(shù)來(lái)解決網(wǎng)絡(luò)設(shè)備的日志格式不統(tǒng)一的問(wèn)題？ 201
Q209　OSSIM中安全事件的標(biāo)準(zhǔn)格式是什么？ 201
Q210　OSSIM Agent的插件采集日志流程是什么？ 203
Q211　在Apache插件中如何定義Apache訪問(wèn)日志的正則表達(dá)式？如何通過(guò)腳本檢測(cè)
插件？ 206
Q212　經(jīng)過(guò)OSSIM數(shù)據(jù)源插件歸一化之后的日志存儲(chǔ)在什么位置？ 206
Q213　編寫(xiě)日志插件分幾個(gè)步驟？ 208
Q214　在OSSIM系統(tǒng)中如何導(dǎo)入檢測(cè)插件？ 209
Q215　OSSIM采集插件分為幾大類，它們通過(guò)什么協(xié)議采集數(shù)據(jù)？ 209
Q216　插件進(jìn)程ossim-agent被手動(dòng)停止后之后為何會(huì)自己重啟？ 211
Q217　在OSSIM傳感器中能同時(shí)啟用Snort和Suricata插件嗎？ 211
Q218　如何導(dǎo)入自定義插件？ 212
第8章　SIEM控制臺(tái)操作 217
Q219　如何把SIEM控制臺(tái)中發(fā)現(xiàn)的重要日志加入到知識(shí)庫(kù)？ 217
Q220　如何為知識(shí)庫(kù)的條目新增附件？ 219
Q221　在SIEM控制臺(tái)事件中查看視圖時(shí)有幾種觀察模式，它們有什么區(qū)別？ 220
Q222　如何在SIEM警報(bào)中顯示計(jì)算機(jī)名？ 221
Q223　在SIEM控制臺(tái)事件的表單中，N/A表示什么意思？ 222
Q224　如何設(shè)定SIEM事件的保存期限？ 222
Q225　如何恢復(fù)SIEM事件數(shù)據(jù)庫(kù)？ 223
Q226　SIEM控制臺(tái)上包含哪些重要元素？ 223
Q227　如何在SIEM事件控制臺(tái)中過(guò)濾事件？ 227
Q228　如何將高風(fēng)險(xiǎn)的事件進(jìn)行快速分類？ 233
Q229　如何刪除與恢復(fù)安全事件？ 234
Q230　SIEM控制臺(tái)中顯示的事件存儲(chǔ)在什么地方？ 234
Q231　如何在Web頁(yè)面清理SIEM數(shù)據(jù)庫(kù)中的事件？ 235
Q232　為什么不能跨VLAN顯示服務(wù)器的FQDN名稱？ 236
Q233　SIEM日志顯示中出現(xiàn)的0．0．0．0地址表示什么含義？ 236
Q234　無(wú)法顯示SIEM安全事件時(shí)應(yīng)如何處理？ 237
Q235　SIEM數(shù)據(jù)源與插件之間有何聯(lián)系？ 237
Q236　什么是AVAPI事件？如何過(guò)濾AVAPI事件？ 238
Q237　在OSSIM Web UI中出現(xiàn)的EPS參數(shù)表示什么含義？ 241
第9章　可視化報(bào)警 243
Q238　如何產(chǎn)生報(bào)警事件？ 243
Q239　OSSIM中將報(bào)警事件分為幾類，分別表示什么含義？ 244
Q240　如何通過(guò)Alarm快速識(shí)別網(wǎng)絡(luò)攻擊？ 248
Q241　報(bào)警分組有什么作用？ 251
Q242　如何通過(guò)X-Scan工具來(lái)觸發(fā)OSSIM報(bào)警？ 252
Q243　如何采用Armitage對(duì)目標(biāo)主機(jī)進(jìn)行滲透測(cè)試？ 253
Q244　如何通過(guò)Metasploit挖掘Windows XP的MS08-067漏洞？ 258
Q245　如何通過(guò)OSSIM實(shí)現(xiàn)SSH登錄失敗報(bào)警？ 262
Q246　如何區(qū)別IDS的誤報(bào)與漏報(bào)？ 265
Q247　如何設(shè)置SSH登錄報(bào)警策略？ 266
Q248　OSSIM如何感知SSH暴力破解攻擊？ 268
第 10章　OSSIM數(shù)據(jù)庫(kù) 273
Q249　OSSIM數(shù)據(jù)庫(kù)有哪幾種，各有什么作用？ 273
Q250　采用SecureCRT訪問(wèn)數(shù)據(jù)庫(kù)時(shí)出現(xiàn)亂碼，這是什么原因引起的，如何
避免？ 275
Q251　MySQL數(shù)據(jù)庫(kù)權(quán)限的存儲(chǔ)機(jī)制是什么？ 276
Q252　如何讓OSSIM中的MySQL數(shù)據(jù)庫(kù)支持遠(yuǎn)程訪問(wèn)？ 278
Q253　如何通過(guò)phpMyAdmin數(shù)據(jù)庫(kù)解決“Access denied for user 'root'@'localhost'（using password：YES）”報(bào)錯(cuò)問(wèn)題？ 280
Q254　采用phpMyAdmin訪問(wèn)數(shù)據(jù)庫(kù)時(shí)為什么會(huì)出現(xiàn)亂碼？ 282
Q255　如何在OSSIM服務(wù)器上訪問(wèn)數(shù)據(jù)庫(kù)？常見(jiàn)的數(shù)據(jù)庫(kù)操作命令包含哪些？ 282
Q256　如何分屏顯示alienvault．a(chǎn)larm表中的內(nèi)容？ 283
Q257　如何查看OSSIM數(shù)據(jù)庫(kù)的大??？ 283
Q258　OSSIM中的SQLite數(shù)據(jù)庫(kù)有什么作用，它存儲(chǔ)在什么位置？ 284
Q259　RRDTool與數(shù)據(jù)庫(kù)MySQL之間有什么區(qū)別？ 284
Q260　如何將SQL文件插入到OSSIM數(shù)據(jù)庫(kù)中？ 284
Q261　如何把一個(gè)．sql．gz文件導(dǎo)入到數(shù)據(jù)庫(kù)中？ 285
Q262　如何優(yōu)化數(shù)據(jù)庫(kù)中的表？ 285
Q263　如何重置OSSIM數(shù)據(jù)庫(kù)？ 286
Q264　如何恢復(fù)OSSIM數(shù)據(jù)庫(kù)的出廠設(shè)置？ 287
Q265　影響OSSIM數(shù)據(jù)庫(kù)的性能因素有哪些？ 288
Q266　如何利用MySQLReport監(jiān)控?cái)?shù)據(jù)庫(kù)性能？ 288
Q267　如何設(shè)定OSSIM數(shù)據(jù)庫(kù)的自動(dòng)備份時(shí)間？在什么位置查看備份數(shù)據(jù)？ 289
Q268　/etc/ossim/server/config．xml配置文件記錄了哪些關(guān)鍵信息？ 290
Q269　OSSIM系統(tǒng)中出現(xiàn)“MySQL：ERROR 1040：Too many connections”報(bào)錯(cuò)提示時(shí)
如何處理？ 291
Q270　如何用mytop監(jiān)控MySQL數(shù)據(jù)庫(kù)？ 292
Q271　如何遠(yuǎn)程導(dǎo)出OSSIM數(shù)據(jù)庫(kù)的表結(jié)構(gòu)？ 293
Q272　在使用ossim-db命令時(shí)出現(xiàn)“Access denied for user 'root'@'localhost'（using password：NO）”提示，該如何解決？ 293
Q273　如何模擬負(fù)載？ 294
Q274　當(dāng)MySQL進(jìn)程的CPU使用率過(guò)高時(shí)，如何優(yōu)化？ 294
Q275　如何啟動(dòng)OSSIM數(shù)據(jù)庫(kù)的慢查詢?nèi)罩荆?295
Q276　如何使用mysqldump完整備份OSSIM數(shù)據(jù)庫(kù)？ 296
Q277　如何用XtraBackup備份OSSIM數(shù)據(jù)庫(kù)？ 296
Q278　如何用mysqlslap測(cè)試OSSIM數(shù)據(jù)庫(kù)？ 297
Q279　當(dāng)OSSIM系統(tǒng)數(shù)據(jù)庫(kù)發(fā)生損壞時(shí)，如何重建數(shù)據(jù)庫(kù)？ 299
Q280　如何查看OSSIM系統(tǒng)的SIEM數(shù)據(jù)庫(kù)備份策略？ 299
Q281　OSSIM系統(tǒng)出現(xiàn)acid表錯(cuò)誤時(shí)如何處理？ 299
Q282　升級(jí)過(guò)程中數(shù)據(jù)庫(kù)表意外損壞，該如何修復(fù)？ 300
Q283　如何清理OSSIM數(shù)據(jù)庫(kù)？ 301
Q284　存儲(chǔ)在數(shù)據(jù)庫(kù)中的資產(chǎn)IP地址被加密了嗎，如何查看該IP地址呢？ 302
Q285　OSSIM系統(tǒng)中的Active Event Window（days）表示什么含義，該值設(shè)定為多大
比較合適？ 302
Q286　如何顯示acid_event表中的前5條記錄？ 303
Q287　為OSSIM添加擴(kuò)展數(shù)據(jù)庫(kù)時(shí)出現(xiàn)連接數(shù)據(jù)庫(kù)錯(cuò)誤，該如何處理？ 303
Q288　如何通過(guò)MONyog工具監(jiān)控MySQL服務(wù)器？ 304
Q289　日志中的IP地址在數(shù)據(jù)庫(kù)中采用何種形式存儲(chǔ)？ 306
Q290　如何通過(guò)MySQL Workbench連接OSSIM數(shù)據(jù)庫(kù)？ 307
附錄1　主要配置文件注釋 315
附錄2　OSSIM 5 Web界面菜單功能注釋 316
附錄3　終端控制臺(tái)程序注釋 319
附錄4　關(guān)鍵詞匯英漢對(duì)照 321