基於ossim 的開源安全運維平台
乙個安全運維平台能否有效就要看收集資料的能力,如果資料來源都有缺失,那上層的關聯分析很可能會產生偏差。對於網路安全裝置而言,主要採集其安全日誌(包括報警)和裝置執行狀態資訊。這本ossim最佳實踐向您展示了其基於外掛程式的強大資料採集和處理能力。
然而目前市場上的安全裝置的輸出資訊隨著裝置種類和生產廠家的不同都有所不同,並且沒有乙個統一的標準來格式化所有的安全日誌。因此,同時收集多源異構安全裝置的資料,除了ossim之外的各類開源工具都是乙個複雜而艱難的過程。ossim連續4年進入gartner資訊保安與事件管理(siem)魔力象限也是有他的道理。
1.安全運維平台基本功能
網路管理的功能組成包括:、配置管理、效能管理、變更管理、安全管理、故障管理等。從網管角度來說,最根本的需求就是在乙個統一的介面中監控網路中所有安全裝置的實時執行狀態,將其產生的所有報警及日誌資訊進行統一收集、集中分析和定時審計;並且能在乙個平台中完成安全產品的更新公升級、入侵事件的報警、響應處理等功能。在你沒有體驗過ossim之前,這些功能只是夢想。為了實現這個夢想,你會搭建一大堆開源系統,資料分散在各個平台之上。很多人會把他們視為「自動化運維系統」。
當你使用過ossim之後,能感覺到這種系統將處於不同安全裝置、不同管理系統中無序並分散的海量安全事件進行收集、過濾、關聯分析,得出全域性視角的安全風險分析結果,再依據專家庫的知識庫裡的經驗經過安全策略,及時響應處理會造成損失的安全威脅事件,以保障企業網路環境的整味安全性。網路安全管理平台的主要組成部分包括安全事件採集、安全事件管理、安全裝置監控等。
注意:安全事件管理主要是將事件釆集提供的所有事件進行關聯分析、風險評估等分析處理。
2.安全運維平台管理體系
安全運維不只是在技術層面進行企業的資訊保安管理,針對傳統安全管理的侷限性,安全運維體系建設分兩個層面
1)技術保障體系:以安全運維平台為工具,通過監控、定位、告警、決策、處置、反饋等手段為保障業務系統正常執行提供有力支援。
2)管理保障體系:規範組織結構管理,完善機構人員及第三方服務人員管理,完善安全策略及制度建設,引入規範的業務處理流程,形成一套完善的安全管理體系。
ossim平台依據安全管理技術的研宄及質量管理體系的要求,開發了一套較為完整的資訊保安運維保障體系框,但遺憾的是目前還沒有完善工單處理系統,需要將ossim和itop組合起來應用。
siem管理的核心是資產,資產管理的物件是劃分的安全域內的各業務資訊系統及裝置,主要包括:網路裝置(如:路由器,交換機等)、主機裝置如伺服器等、安全裝置(如ids,防火牆等)、業務資訊系統、資料庫、中介軟體。
安全分析中心的核心工作是將收集到的it資源的狀態資訊、效能指標和可用性指標等資料進行關聯分析,發現外部入侵,識別內部違規。監控中心負責收集全網it資源的執行狀態資訊、效能指標和可用性指標。在ossim框架下的運維中心可幫助運維人員建立一套例行化、常態化的風險管理機制。
下面就讓《開源安全運維平台ossim最佳實踐》這本書來為您講解以資產為核心的siem系統吧。
基於OSSIM 的開源安全運維平台
基於ossim 的開源安全運維平台 乙個安全運維平台能否有效就要看收集資料的能力,如果資料來源都有缺失,那上層的關聯分析很可能會產生偏差。對於網路安全裝置而言,主要採集其安全日誌 包括報警 和裝置執行狀態資訊。這本ossim最佳實踐向您展示了其基於外掛程式的強大資料採集和處理能力。然而目前市場上的安...
《開源安全運維平台 OSSIM最佳實踐》內容簡介
開源安全運維平台 ossim最佳實踐 李晨光 著 清華大學出版社出版 內 容 簡 介 在傳統的異構網路環境中,運維人員往往利用各種複雜的監管工具來管理網路,由於缺乏一種整合安 全運維平台,當遇到故障時總是處於被動 救火 狀態,如何將資產管理 流量監控 漏洞管理 入侵監 測 合規管理等重要環節,通過開...
Spug 開源 輕量無 Agent 自動化運維平台
spug簡介 使用文件 更新日誌 以下安裝步驟使用centos7.x作業系統。yum install docker systemctl start docker 阿里雲的映象與 docker hub 同步更新,國內使用者建議使用阿里雲的映象。docker pull registry.aliyuncs...