在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安全运维平台,当遇到故障时总是处于被动“救火”状态,如何将资产管理、流量监控、漏洞管理、入侵监测、合规管理等重要环节,通过开源软件集成到统一的平台中,以实现安全事件关联分析,可从本书介绍的OSSIM平台中找到答案。本书借助作者在OSSIM领域长达10年开发应用实践经验之上,以大量生动实例阐述了基于插件收集日志并实现标准化,安全事件规范化分类,关联分析的精髓,书中为读者展示的所有知识和实例均来自大型企业中复杂的生产环境,并针对各种难题给出解决方案。
全书共分三篇,10章:第一篇(第1~2章)主要介绍OSSIM架构与工作原理、系统规划、实施关键要素和过滤分析SIEM事件的要领。第二篇(第3~6章)主要介绍OSSIM所涉及的几个后台数据库,重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧。第三篇(第7~10章)主要介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、NetFlow抓包分析异常流量的方法,深入分析了OpenVAS架构和脚本分析方法。
本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。