《開源安全運維平臺OSSIM疑難解析--入門篇》 課後習題

下面列出的《開源OSSIM企業運維疑難問題解析--入門篇》中針對OSSIM平常運維中遇到的問題總結而成下列測試題（局部）。

 

1、多項選擇題

1．AlienVault OTX 表示開放式威脅交換，OSSIM中將IP信譽評價數據記錄在哪一個文件中？（  ）

A．/etc/ossim/server/reputation.data            B．/etc/ossim/agent/config.cfg

2．SIEM全稱是什麼？（ ）

A．安全信息與事件管理                                 B．安全信息管理系統

3．下列選項中不屬於開源SIEM系統的是哪一項？（  ）。

A．OSSIM                                                           B．openSOC

C．apache metron                                             D．HP arcsight

4．下列產品中不屬於威脅情報系統的是哪個？（  ）

A．AlienVault USM Enterprise                        B．InsightIDR

C．Securitycenter CV                                       D．FireEye

E.Cyveilance                                                       F．IBM X-force Exchange

G．LogRhythm                                                  H．Verisign

I．ElasticSearch

 

5．要查看TCP 22端口運行了什麼進程，應該輸入下面哪一個命令？（  ）

A．lsof -i :22                                             B．netstat -na

6．OSSIM系統中大量採用了多進程服務，下面不屬於多進程的服務是哪項？（   ）

A．iptables                                                 B．MySQL

C．ossim-agent                                          D．ossim-server

E．ossim-framewrok

7．OSSIM平臺適合部署在下列哪一種（些）網絡環境中？（   ）

A．公有云                                                  B．私有云

C．企業內網

8．下列那些行爲屬於I/O密集型計算？（   ）

A．包轉發                                                  B．Snort規則匹配

C．數據庫存儲

9．可以實如今命令行下以樹狀結構顯示進程的命令是哪一個？（  ）

A．ps –ef                                                                             B．pstree  -p

 

10．下列選項中可以在虛擬機下實現網絡嗅探功能的虛擬機軟件是什麼？（  ）

A．Xen-Server                                           B．KVM

C．VMware workstation

11．這面這條命令的做用是什麼？（ ）

#find . -maxdepth 1 -type f -size +10M -printf "%f:%s\n" | sort -t ":" -k2

 

A．由小到大列出當前目錄大小超過10Mb的文件

B．列出當前目錄下10M的文件

12．在宿主機Windows 10系統中已安裝了VMware workstation虛擬機軟件，下列選項中的哪個能夠同時和VMware虛擬機軟件一塊兒運行？（  ）

A．VirtualBox                                            B．Hyper-V

13．爲了在OSSIM系統啓動時看到詳細啓動過程，下面哪一種方法能夠實現？（  ）

A．開機按下F8鍵盤

B．開機BIOS自檢後引導操做系統時按下Esc鍵

14．命令行下更新SCAP庫的命令是哪一個？（   ）

A．openvas-scapdata-sync                    B．openvas-nvt-sync

15．在一臺物理服務器中安裝OSSIM，下列哪一種方法最適合？（  ）。

A．磁盤RAID 0模式，採用服務器的CDROM安裝

B．磁盤RAID 5模式，採用U盤安裝

C．磁盤RAID 6模式，採用移動光驅安裝

 

16．下列（  ）命令中那個不能查看Debian Linux版本號

A．Uname –a                                            B．lsb_release  -a

C．cat /etc/Debian_version

17．下列選項中最適合關閉OSSIM系統的方法是（  ）

A．halt                                                        B．init 0

C．sync;sync;poweroff                           D．shutdown -r now

 

18．正確關閉分佈式環境OSSIM系統是（  ）。

A．先關閉Sensor再關閉Server           B．先關閉Server 再關閉Sensor

 

19．對於運行過一段時間的OSSIM系統來講，使用alienvault-update命令後      。

A．升級軟件對原系統沒有任何影響

B．一部分配置文件會被覆蓋致使一些服務異常

20．在OSSIM下安裝軟件以前必須執行的命令是       

A．apt-get update                                     B．apt-get upgrade

21．查看OSSIM屬於哪一款Debian版本的命令是    　

A．cat /etc/issue                                        B．more /etc/debian_version

22．下列命令中沒法查看gcc版本的是   　

A．more /proc/version                             B．uname   -a

23．下列命令中沒法獲取Debian Linux內核版本的是   　

A．uname –a                                             B．more /proc/version

C．uname

24．若是但願批量重啓ossim-server、squid、nagios、nfsen、ntop等服務最適合採用下列     命令。

A．ossim-reconfig                                     B．reboot

25．OSSIM平臺是在Debian Linux系統之上進行優化裁剪的一套大數據處理系統，經過（  ）命令能夠查看Debian Linux內核版本;經過（  ）命令可查看OSSIM版本；經過（  ）命令獲取Debian Linux系統版本信息；經過（H）命令獲取OSSIM對系統的資源限制列表。

A．uname –a                                             B．uname

C．alienvault-about                                 D．alienvault-api about

E．cat /etc/debian_version                     F．cat /etc/issue

G．ulimit –n                                               H．ulimit -a

26．在SHELL下執行「」語句的做用是 （  ）

A．按降序排列消耗內存胡和進程      

B．列出最消耗磁盤I/O的進程。

 

27．爲一臺Apache Web服務器擴容，因爲進程要比線程更消耗更多的系統開銷，一般最有效的方式是（ ）。

A．增長服務器或擴充羣集節點                   

B．增長服務器中的CPU數量

 

28．安裝時遇到圖1表示   　 。

圖1 　OSSIM安裝故障

A．說明系統沒法安裝網卡驅動          

B．沒有網卡驅動

29．命令行下安裝nginx出現下面報錯信息，下列選項操做正確的是 　     。

A．dpkg –configure –a                            B．apt-get update

30．查詢文件/etc/apache2/sites-enabled/alienvault-api.conf隸屬於什麼軟包能夠採用下列（   ）命令。查詢軟件包alienvault-api-core中的每一個文件安裝到系統什麼位置可採用下列（   ）命令。

A．dpkg –L alienvault-api-core             B．dpkg –s alienvault-api

C．dpkg –S /etc/apache2/sites-enabled/alienvault-api.conf

D．apt-cache show alienvault-api-core

 

31．使用wget命令下載https://github.com/raw/master/unixbench.sh文件，下列選項中，（ ）命令是正確的。

A．wget —no-check-certificate https://github.com/raw/master/unixbench.sh

B．wget —nossl-certificate  https://github.com/raw/master/unixbench.sh

32．包含OSSIM數據庫配置（包括用戶名、密碼及通訊端口）信息的文件是（  ）

A．/etc/ossim/ossim.conf                        B．/etc/ossim/framework/ossim.conf

 

33．下面這條命的做用是（ ）。

A．產生一個1024字節的空文件        

B．隨機產生1萬個不一樣文件名的文件

 

34．忘記OSSIM Web UI界面中admin用戶的登陸密碼，可採用下列     命令進行從新設置。

A．ossim-reset-passwd admin               

B．passwd admin

 

35．某一天在OSSIM WEB UI儀表控制檯上發現SIEM和LOG記錄曲線發生突變，事件節點在11點，如圖2這有可能出現       故障。

圖2　SEIM和LOG記錄曲線發生突變

A．OSSIM Server的Web Service故障       B．客戶端中止發送SIEM和LOG數據

C．插件不工做                                          D．Sensor下線

36  ．在控制檯界面因爲誤操做進入到root:~$_界面，此時輸入      命令才能退回#提示符下。

A．jailbreak                                               B．exit

37 ．某個文件（/etc/file）裏面有不少內容，如今想清空該文件，使用（  ）命令操做。

A．cat  /etc/file > /dev/null                    B．cat /etc/file

 

38．關閉OSSIM平臺的SSH服務使用下列     命令

A．service ssh stop                                    B．/etc/init.d/ssh stop

 

39．配置文件/etc/ossim/ossim_setup.conf記錄沒有記錄下列         內容

A．定義Web 站點根目錄                      B．MySQL數據庫密碼

C．防火牆配置                                          D．插件

E．OSSIM框架通訊地址

40．OSSIM中經過ansible的被管理主機，經過       文件定義。

A．/etc/ansible/hosts                                B．/etc/hosts

41．更改配置後，在命令行下重啓動Ossim服務的配置命令正確的是（   ）

A．reboot                                                    B．ossim-reconfig -c -v -d

42．關閉OSSIM平臺的SSH服務使用下列       命令

A．service ssh stop                                    B．/etc/init.d/ssh stop

43．配置文件/etc/ossim/ossim_setup.conf記錄沒有記錄下列         內容

A．定義Web 站點根目錄                      B．MySQL數據庫密碼

C．防火牆配置                                          D．插件

E．OSSIM框架通訊地址

44．OSSIM中經過ansible的被管理主機，經過       文件定義。

A．/etc/ansible/hosts                                B．/etc/hosts

45．更改配置後，在命令行下重啓動Ossim服務的配置命令正確的是（      ）

A．reboot                                                    B．ossim-reconfig -c -v -d

46．Ansible是OSSIM Server與Sensor之間重要的配置管理工具，Ansible基於（    ）語言開發。基於（    ）私鑰加密方式認證，私鑰文件定義在（   ）文件。OSSIM服務器爲了向Sensor推送配置文件和接收Sensor傳來的系統信息（    ）在被控主機Sensor安裝Agent。

A．Python                                                  B．Perl

C．無需                                                       D．須要E.SSH key

F．口令G./var/ossim/ssl/local/private/cakey_avapi.pem

47．查詢OSSIM的Ansible模塊的命令是（    ）命令。

A．/usr/share/alienvault/api_core/bin/ansible-doc -l

B．ansible --list

48．在OSSIM分佈式系統中，刪除傳感器就（   ）該傳感器下管理的全部資產。

A．必須刪除                                              B．沒必要刪除

 

49．查看下列（     ）數據源事件報警時能夠下載PCAP格式的數據。

A．Snort                                                      B．OSSEC

C．SSH                                                       D．pam.unix

50．查看下列（     ）數據源事件報警時，沒法查看RAW log原始日誌。

A．syslog                                                    B．directive_alert

C．pam_unix D sudo                               E．snort

 

51．爲了在命令行下觀察OSSIM系統進程的啓動過程，可在OSSIM系統開始引導時快速按下(       )鍵,再次按下該鍵能夠返回正常啓動模式。

A．Esc    B. F2    C. Ctrl+Alt+ F2   D. F3

 

52．OSSIM系統安裝採用圖形界面，爲了在命令行下觀察安裝詳細信息能夠按下(       )組合鍵實現。爲了進入SHELL狀態可按下（    ）組合鍵，從新返回OSSIM安裝圖形界面可按下（    ）組合鍵。

A． Ctrl+Alt+F1     B.Ctrl+Alt +F2     C. Ctrl+Alt +F3  D. Ctrl+Alt +F5  E.Ctrl+Alt+F7

 

53．OSSIM 5啓動後長時間停留在圖形界面，而沒有彈出登陸窗口，採用（     ） 組合鍵能夠切換到命令行登陸界面。

A . Ctrl+Alt +F3      B.Ctrl+Q        C. Ctrl+Shift+ F

 

54．OSSIM正常運行過程，運行級別爲（   ）級。

A．1             B.2               C .3              D.4

 

55．在虛擬機VMware Workstation 12 Pro安裝OSSIM 5.6系統，新建客戶機須要選擇（   ）操做系統，安裝過程當中虛擬機（    ），可順利安裝OSSIM系統。

A.      Microsoft Windows      B.CentOS 64 位       C.Debian 8.x 64位  D.Other Linux 

E.必須聯網            F.必須斷開網絡

 

56．安裝OSSIM 5.x 安裝過程當中出現「Installation step failed. You can try to run the failing item again from the menu, or skip it and choose something else. The failing step is:Select and ×××tall software」報錯提示，安裝進程停滯，同時在屏幕右下方顯示「Contine」按鈕，下列處理方式中正確的是？（   ）

A． 斷開網絡從新安裝系統

B． 跳過報錯提示，點擊「Continue」按鈕，繼續安裝系統。

C． 鏡像數據不完整，從新下載安裝文件，繼續安裝。

 

57．出現上述問題  的緣由是（    ）。

A .虛擬機操做系統類型選擇錯誤。

B． 內存分配過小

C． 磁盤空間不足

D．OSSIM配置腳本將Postfix郵件系統別名設置爲數字，致使參數配置錯誤，因此安裝進程被中斷。

 

58 . OSSIM傳感器安裝完成，在啓動系統過程當中一直停留在「startpar:service(s) returned failure: rng-tools Plymouth … failed!」一行，下列（  ）方法，能夠出現登陸界面。

 

A． 按下Ctrl+Alt+ F3組合鍵

B． 增長系統內存

C． 從新安裝系統                                                                                                          

 

59.在一套分佈式OSSIM系統中，OSSIM服務器IP= 92.168.11.1，傳感器IP=192.168.11.150，服務器和傳感器之間可正常網絡通訊。此時小李但願直接訪問傳感器，在IE v10.0瀏覽器地址欄輸入https://192.168.11.150後，出現頁面沒法找到的錯誤提示，致使該該故障的緣由是（ ）。

A．傳感器安裝不完整 

B.傳感器上沒有安裝Web服務器 

C.沒有設置SSL 

D.IE瀏覽器版本問題

 

60．下列選項中      語句用於查詢OSSIM數據庫中以hosts開頭的表。

A．show tables like ‘host%’;                   B．show tables ‘host%’;

61．XML（eXtensible Markup Language可擴展標記語言）數據是      ，基於正則表達式工做，元素之間的關係經過嵌套方式表達，表現形式靈活。

A．半結構化信息                                     B．結構化信息

62．在WebUI中Alarm菜單下的報警分爲Delivery、Environmental Awareness、Exploitation、Reconnaissance、System Compromise五類，下列      命令能夠列出這五類報警

A．SELECT * FROM `alarm_kingdoms`;   B．SELECT * FROM `alarm `;

 

63．在數據庫中，按順序顯示全部事件告警分類的命令是（  ）

A．select * from `alarm_categories` ORDER By `id`ASC;

B．select * from `alarm`;

64．OSSIM系統配置文件存儲在        表中經過      命令調取。

A．acid_event                                           B.alienvault

C．config                                                    D．select * from `config`;

D．select * from

65．下列      命令能夠查詢API裏的數據。

A．select * from `current_status`;         B．select * from `system_status`;

 

2、判斷題

1． OSSIM是集計算密集型、內存密集型存儲密集型的一個大數據分析平臺，適合部署在公有云、私有云和企業內網各類網絡環境中。（    ）

2．剛裝完OSSIM在Web UI中看不到局域網其餘機器的流量或者，觀察到的流量很小，這種狀況下最有可能的緣由是沒有在交換機上設置SPAN。（   ）

3．OSSIM中tmpfs是一種基於內存的臨時文件系統，他的大小一般設置爲物理內存的一半。（   ）

4．禁用客戶機瀏覽器上Cookie，依然能夠查詢Session（    ）

5．命令行下查看ossim版本信息的命令是「alienvault -c –v」（   ）

6．查詢OSSIM關聯引擎版本的命令式「ossim-server –v」(    )

7．OSSIM下的檢測器起到收集資源信息及監聽當前網段數據包的做用，主要包括Ntop、Prads、Suricata、Ossec。（    ）

 

8．開源版OSSIM中會出現AV-FREE-FEED類報警，它們表明AlienVault公司無償使用的規則。（  ）

 

9．OSSIM系統中用EPS的大小來衡量OSSIM Server事件關聯引擎的處理能力（   ）

 

10．Mysql插件位於/usr/lib/mysql/plugin/目錄擴展名爲.so（  ）

11．OSSIM數據庫中的IP地址信息採用點分十進制格式存儲（   ）

 

3、問答題

1．IP信譽評價在SIEM系統中起到什麼做用？

 

 

2．如何查找TCP 40001端口被什麼進程監聽？

 

 

3．如何查找/var/log/apache2/access.log這個日誌文件正在使用的進程號？

 

 

4．爲了給一臺混合安裝的OSSIM 3系統，修改管理IP地址，服務器設置爲是單網卡模式，應修改哪些配置文件？

 

5．客戶在HPGL380G6服務器上最初有2塊硬盤，每塊300GB，作了RAID 0以後，可安裝並使用Linux系統CentOS。客戶又新增了6塊磁盤，同時這8塊磁盤（容量品牌都相同）設置Raid 5後安裝OSSIM系統，則提示找不到硬盤，如何解決此類問題？

 

 

6．若是升級過程當中出現異常，如何查詢升級故障日誌？

 

 

7．按正確位置填圖。

圖3 所示爲典型企業局域網，請爲這張拓撲圖設置分佈式OSSIM系統，將服務器和傳感器的位置進行合理佈局以實現監控DMZ區、接入層服務器以及分支辦公室服務器的目的。將如何在服務器A～F節點上進行OSSIM安裝。這裏假設各個VLAN之間相通。

圖3 　OSSIM部署拓撲

8．如何一次性重啓OSSIM系統中各項服務？

 

 

9．如何查詢/var/目錄下2級子目錄的大小，而且按升序（數據從小到大）排列？

 

10．圖4裏的紅圈中Thresholds C=30、A=30這兩個參數表示什麼含義？

圖4  　添加網絡中的C、A值

11．圖5 中傳感器內的Snort服務起到什麼做用？ossim agent指的是什麼程序？有何做用？

圖5  　Snort監控拓撲

 

12．某公司局域網內出現了APT***，文件服務器內的重要數據被竊取，爲了查明緣由和網絡取證須要，應該在什麼位置部署OSSIM系統？請在拓撲圖6中標註出來。

圖6　***示意圖

 

 

13．如何重啓Sensor上的ossim-agent服務？

 

 

14．分佈式OSSIM系統，傳感器的UUID記錄在什麼文件？

 

 

15．如何實現將Docker容器進行OSSIM傳感器，以實現將容器放在任何客戶端系統中？

 

 

16．OSSIM採集插件分爲幾大類，採集插件經過什麼協議採集數據？

 

 

17．OSSIM經過何種機制將代理採集的LOG發送到OSSIM Server？

 

 

18．如何將plug×××中location定義的文件寫入兩個文件中？

 

 

 

19．SIEM控制檯上爲何會顯示0.0.0.0的地址？

 

 

 

20.alarm產生的步驟是什麼？

 

 

21.OSSIM中將alarm分爲幾類？

 

 

22.面對SSH登陸暴力破解***OSSIM將會發出什麼alarm?

 

 

 

23經過Metasploit和Armitag兩種方式對目標主機進程***實驗這兩種模式有哪些區別？

 

 

24．如何查詢acid事件記錄？

 

 

25．如何在OSSIM數據庫的alienvault.event表中查詢事件記錄？

 

 

26．OSSIM後臺數據庫可否可切換爲Oracle或MongoDB嗎？

 

 

27．如何查詢OSSIM數據庫的host開頭的表。

 

 

28．如圖7所示，OSSIM數據庫MySQL出現"Access denied for user 'root'@'localhost' (using password:YES)提示，該如何處理？

圖7　數據庫鏈接報錯信息