下面列出的《開源OSSIM企業運維疑難問題解析--入門篇》中針對OSSIM日常運維中遇到的問題總結而成下列測試題(局部)。
一、多項選擇題
1.AlienVault OTX 表示開放式威脅交換,OSSIM中將IP信譽評價數據記錄在哪個文件中?( )
A./etc/ossim/server/reputation.data B./etc/ossim/agent/config.cfg
2.SIEM全稱是什麼?( )
A.安全信息與事件管理 B.安全信息管理系統
3.下列選項中不屬於開源SIEM系統的是哪一項?( )。
A.OSSIM B.openSOC
C.apache metron D.HP arcsight
4.下列產品中不屬於威脅情報系統的是哪一個?( )
A.AlienVault USM Enterprise B.InsightIDR
C.Securitycenter CV D.FireEye
E.Cyveilance F.IBM X-force Exchange
G.LogRhythm H.Verisign
I.ElasticSearch
5.要查看TCP 22端口運行了什麼進程,應該輸入下面哪個命令?( )
A.lsof -i :22 B.netstat -na
6.OSSIM系統中大量採用了多進程服務,下面不屬於多進程的服務是哪項?( )
A.iptables B.MySQL
C.ossim-agent D.ossim-server
E.ossim-framewrok
7.OSSIM平臺適合部署在下列哪種(些)網絡環境中?( )
A.公有云 B.私有云
C.企業內網
8.下列那些行爲屬於I/O密集型計算?( )
A.包轉發 B.Snort規則匹配
C.數據庫存儲
9.能夠實現在命令行下以樹狀結構顯示進程的命令是哪個?( )
A.ps –ef B.pstree -p
10.下列選項中能夠在虛擬機下實現網絡嗅探功能的虛擬機軟件是什麼?( )
A.Xen-Server B.KVM
C.VMware workstation
11.這面這條命令的作用是什麼?( )
#find . -maxdepth 1 -type f -size +10M -printf "%f:%s\n" | sort -t ":" -k2
A.由小到大列出當前目錄大小超過10Mb的文件
B.列出當前目錄下10M的文件
12.在宿主機Windows 10系統中已安裝了VMware workstation虛擬機軟件,下列選項中的哪一個可以同時和VMware虛擬機軟件一起運行?( )
A.VirtualBox B.Hyper-V
13.爲了在OSSIM系統啓動時看到詳細啓動過程,下面哪種方法可以實現?( )
A.開機按下F8鍵盤
B.開機BIOS自檢後引導操作系統時按下Esc鍵
14.命令行下更新SCAP庫的命令是哪個?( )
A.openvas-scapdata-sync B.openvas-nvt-sync
15.在一臺物理服務器中安裝OSSIM,下列哪種方法最適合?( )。
A.磁盤RAID 0模式,採用服務器的CDROM安裝
B.磁盤RAID 5模式,採用U盤安裝
C.磁盤RAID 6模式,採用移動光驅安裝
16.下列( )命令中那個不能查看Debian Linux版本號
A.Uname –a B.lsb_release -a
C.cat /etc/Debian_version
17.下列選項中最適合關閉OSSIM系統的方法是( )
A.halt B.init 0
C.sync;sync;poweroff D.shutdown -r now
18.正確關閉分佈式環境OSSIM系統是( )。
A.先關閉Sensor再關閉Server B.先關閉Server 再關閉Sensor
19.對於運行過一段時間的OSSIM系統來說,使用alienvault-update命令後 。
A.升級軟件對原系統沒有任何影響
B.一部分配置文件會被覆蓋導致一些服務異常
20.在OSSIM下安裝軟件之前必須執行的命令是
A.apt-get update B.apt-get upgrade
21.查看OSSIM屬於哪一款Debian版本的命令是
A.cat /etc/issue B.more /etc/debian_version
22.下列命令中無法查看gcc版本的是
A.more /proc/version B.uname -a
23.下列命令中無法獲取Debian Linux內核版本的是
A.uname –a B.more /proc/version
C.uname
24.如果希望批量重啓ossim-server、squid、nagios、nfsen、ntop等服務最適合採用下列 命令。
A.ossim-reconfig B.reboot
25.OSSIM平臺是在Debian Linux系統之上進行優化裁剪的一套大數據處理系統,通過( )命令可以查看Debian Linux內核版本;通過( )命令可查看OSSIM版本;通過( )命令獲取Debian Linux系統版本信息;通過(H)命令獲取OSSIM對系統的資源限制列表。
A.uname –a B.uname
C.alienvault-about D.alienvault-api about
E.cat /etc/debian_version F.cat /etc/issue
G.ulimit –n H.ulimit -a
26.在SHELL下執行“
”語句的作用是 ( )
A.按降序排列消耗內存胡和進程
B.列出最消耗磁盤I/O的進程。
27.爲一臺Apache Web服務器擴容,由於進程要比線程更消耗更多的系統開銷,通常最有效的方式是( )。
A.增加服務器或擴充羣集節點
B.增加服務器中的CPU數量
28.安裝時遇到圖1表示 。
圖1 OSSIM安裝故障
A.說明系統無法安裝網卡驅動
B.沒有網卡驅動
29.命令行下安裝nginx出現下面報錯信息,下列選項操作正確的是 。
A.dpkg –configure –a B.apt-get update
30.查詢文件/etc/apache2/sites-enabled/alienvault-api.conf隸屬於什麼軟包可以採用下列( )命令。查詢軟件包alienvault-api-core中的每個文件安裝到系統什麼位置可採用下列( )命令。
A.dpkg –L alienvault-api-core B.dpkg –s alienvault-api
C.dpkg –S /etc/apache2/sites-enabled/alienvault-api.conf
D.apt-cache show alienvault-api-core
31.使用wget命令下載https://github.com/raw/master/unixbench.sh文件,下列選項中,( )命令是正確的。
A.wget —no-check-certificate https://github.com/raw/master/unixbench.sh
B.wget —nossl-certificate https://github.com/raw/master/unixbench.sh
32.包含OSSIM數據庫配置(包括用戶名、密碼及通信端口)信息的文件是( )
A./etc/ossim/ossim.conf B./etc/ossim/framework/ossim.conf
33.下面這條命的作用是( )。
A.產生一個1024字節的空文件
B.隨機產生1萬個不同文件名的文件
34.忘記OSSIM Web UI界面中admin用戶的登錄密碼,可採用下列 命令進行重新設置。
A.ossim-reset-passwd admin
B.passwd admin
35.某一天在OSSIM WEB UI儀表控制檯上發現SIEM和LOG記錄曲線發生突變,事件節點在11點,如圖2這有可能出現 故障。
圖2 SEIM和LOG記錄曲線發生突變
A.OSSIM Server的Web Service故障 B.客戶端停止發送SIEM和LOG數據
C.插件不工作 D.Sensor下線
36 .在控制檯界面由於誤操作進入到root:~$_界面,此時輸入 命令才能退回#提示符下。
A.jailbreak B.exit
37 .某個文件(/etc/file)裏面有很多內容,現在想清空該文件,使用( )命令操作。
A.cat /etc/file > /dev/null B.cat /etc/file
38.關閉OSSIM平臺的SSH服務使用下列 命令
A.service ssh stop B./etc/init.d/ssh stop
39.配置文件/etc/ossim/ossim_setup.conf記錄沒有記錄下列 內容
A.定義Web 站點根目錄 B.MySQL數據庫密碼
C.防火牆配置 D.插件
E.OSSIM框架通信地址
40.OSSIM中通過ansible的被管理主機,通過 文件定義。
A./etc/ansible/hosts B./etc/hosts
41.更改配置後,在命令行下重啓動Ossim服務的配置命令正確的是( )
A.reboot B.ossim-reconfig -c -v -d
42.關閉OSSIM平臺的SSH服務使用下列 命令
A.service ssh stop B./etc/init.d/ssh stop
43.配置文件/etc/ossim/ossim_setup.conf記錄沒有記錄下列 內容
A.定義Web 站點根目錄 B.MySQL數據庫密碼
C.防火牆配置 D.插件
E.OSSIM框架通信地址
44.OSSIM中通過ansible的被管理主機,通過 文件定義。
A./etc/ansible/hosts B./etc/hosts
45.更改配置後,在命令行下重啓動Ossim服務的配置命令正確的是( )
A.reboot B.ossim-reconfig -c -v -d
46.Ansible是OSSIM Server與Sensor之間重要的配置管理工具,Ansible基於( )語言開發。基於( )私鑰加密方式認證,私鑰文件定義在( )文件。OSSIM服務器爲了向Sensor推送配置文件和接收Sensor傳來的系統信息( )在被控主機Sensor安裝Agent。
A.Python B.Perl
C.無需 D.需要E.SSH key
F.口令G./var/ossim/ssl/local/private/cakey_avapi.pem
47.查詢OSSIM的Ansible模塊的命令是( )命令。
A./usr/share/alienvault/api_core/bin/ansible-doc -l
B.ansible --list
48.在OSSIM分佈式系統中,刪除傳感器就( )該傳感器下管理的所有資產。
A.必須刪除 B.不必刪除
49.查看下列( )數據源事件報警時可以下載PCAP格式的數據。
A.Snort B.OSSEC
C.SSH D.pam.unix
50.查看下列( )數據源事件報警時,無法查看RAW log原始日誌。
A.syslog B.directive_alert
C.pam_unix D sudo E.snort
51.爲了在命令行下觀察OSSIM系統進程的啓動過程,可在OSSIM系統開始引導時快速按下( )鍵,再次按下該鍵可以返回正常啓動模式。
A.Esc B. F2 C. Ctrl+Alt+ F2 D. F3
52.OSSIM系統安裝採用圖形界面,爲了在命令行下觀察安裝詳細信息可以按下( )組合鍵實現。爲了進入SHELL狀態可按下( )組合鍵,重新返回OSSIM安裝圖形界面可按下( )組合鍵。
A. Ctrl+Alt+F1 B.Ctrl+Alt +F2 C. Ctrl+Alt +F3 D. Ctrl+Alt +F5 E.Ctrl+Alt+F7
53.OSSIM 5啓動後長時間停留在圖形界面,而沒有彈出登錄窗口,採用( ) 組合鍵可以切換到命令行登錄界面。
A . Ctrl+Alt +F3 B.Ctrl+Q C. Ctrl+Shift+ F
54.OSSIM正常運行過程,運行級別爲( )級。
A.1 B.2 C .3 D.4
55.在虛擬機VMware Workstation 12 Pro安裝OSSIM 5.6系統,新建客戶機需要選擇( )操作系統,安裝過程中虛擬機( ),可順利安裝OSSIM系統。
A. Microsoft Windows B.CentOS 64 位 C.Debian 8.x 64位 D.Other Linux
E.必須聯網 F.必須斷開網絡
56.安裝OSSIM 5.x 安裝過程中出現“Installation step failed. You can try to run the failing item again from the menu, or skip it and choose something else. The failing step is:Select and ×××tall software”報錯提示,安裝進程停滯,同時在屏幕右下方顯示“Contine”按鈕,下列處理方式中正確的是?( )
A. 斷開網絡重新安裝系統
B. 跳過報錯提示,點擊“Continue”按鈕,繼續安裝系統。
C. 鏡像數據不完整,重新下載安裝文件,繼續安裝。
57.出現上述問題 的原因是( )。
A .虛擬機操作系統類型選擇錯誤。
B. 內存分配太小
C. 磁盤空間不足
D.OSSIM配置腳本將Postfix郵件系統別名設置爲數字,導致參數配置錯誤,所以安裝進程被中斷。
58 . OSSIM傳感器安裝完成,在啓動系統過程中一直停留在“startpar:service(s) returned failure: rng-tools Plymouth … failed!”一行,下列( )方法,可以出現登錄界面。
A. 按下Ctrl+Alt+ F3組合鍵
B. 增加系統內存
C. 重新安裝系統
59.在一套分佈式OSSIM系統中,OSSIM服務器IP= 92.168.11.1,傳感器IP=192.168.11.150,服務器和傳感器之間可正常網絡通信。此時小李希望直接訪問傳感器,在IE v10.0瀏覽器地址欄輸入https://192.168.11.150後,出現頁面無法找到的錯誤提示,導致該該故障的原因是( )。
A.傳感器安裝不完整
B.傳感器上沒有安裝Web服務器
C.沒有設置SSL
D.IE瀏覽器版本問題
60.下列選項中 語句用於查詢OSSIM數據庫中以hosts開頭的表。
A.show tables like ‘host%’; B.show tables ‘host%’;
61.XML(eXtensible Markup Language可擴展標記語言)數據是 ,基於正則表達式工作,元素之間的關係通過嵌套方式表達,表現形式靈活。
A.半結構化信息 B.結構化信息
62.在WebUI中Alarm菜單下的報警分爲Delivery、Environmental Awareness、Exploitation、Reconnaissance、System Compromise五類,下列 命令可以列出這五類報警
A.SELECT * FROM `alarm_kingdoms`; B.SELECT * FROM `alarm `;
63.在數據庫中,按順序顯示所有事件告警分類的命令是( )
A.select * from `alarm_categories` ORDER By `id`ASC;
B.select * from `alarm`;
64.OSSIM系統配置文件存儲在 表中通過 命令調取。
A.acid_event B.alienvault
C.config D.select * from `config`;
D.select * from
65.下列 命令可以查詢API裏的數據。
A.select * from `current_status`; B.select * from `system_status`;
二、判斷題
1. OSSIM是集計算密集型、內存密集型存儲密集型的一個大數據分析平臺,適合部署在公有云、私有云和企業內網各種網絡環境中。( )
2.剛裝完OSSIM在Web UI中看不到局域網其他機器的流量或者,觀察到的流量很小,這種情況下最有可能的原因是沒有在交換機上設置SPAN。( )
3.OSSIM中tmpfs是一種基於內存的臨時文件系統,他的大小通常設置爲物理內存的一半。( )
4.禁用客戶機瀏覽器上Cookie,依然可以查詢Session( )
5.命令行下查看ossim版本信息的命令是“alienvault -c –v”( )
6.查詢OSSIM關聯引擎版本的命令式“ossim-server –v”( )
7.OSSIM下的檢測器起到收集資源信息及監聽當前網段數據包的作用,主要包括Ntop、Prads、Suricata、Ossec。( )
8.開源版OSSIM中會出現AV-FREE-FEED類報警,它們代表AlienVault公司免費使用的規則。( )
9.OSSIM系統中用EPS的大小來衡量OSSIM Server事件關聯引擎的處理能力( )
10.Mysql插件位於/usr/lib/mysql/plugin/目錄擴展名爲.so( )
11.OSSIM數據庫中的IP地址信息採用點分十進制格式存儲( )
三、問答題
1.IP信譽評價在SIEM系統中起到什麼作用?
2.如何查找TCP 40001端口被什麼進程監聽?
3.如何查找/var/log/apache2/access.log這個日誌文件正在使用的進程號?
4.爲了給一臺混合安裝的OSSIM 3系統,修改管理IP地址,服務器設置爲是單網卡模式,應修改哪些配置文件?
5.客戶在HPGL380G6服務器上最初有2塊硬盤,每塊300GB,做了RAID 0之後,可安裝並使用Linux系統CentOS。客戶又新增了6塊磁盤,同時這8塊磁盤(容量品牌都相同)設置Raid 5後安裝OSSIM系統,則提示找不到硬盤,如何解決此類問題?
6.如果升級過程中出現異常,如何查詢升級故障日誌?
7.按正確位置填圖。
圖3 所示爲典型企業局域網,請爲這張拓撲圖設置分佈式OSSIM系統,將服務器和傳感器的位置進行合理佈局以實現監控DMZ區、接入層服務器以及分支辦公室服務器的目的。將如何在服務器A~F節點上進行OSSIM安裝。這裏假設各個VLAN之間相通。
圖3 OSSIM部署拓撲
8.如何一次性重啓OSSIM系統中各項服務?
9.如何查詢/var/目錄下2級子目錄的大小,並且按升序(數據從小到大)排列?
10.圖4裏的紅圈中Thresholds C=30、A=30這兩個參數表示什麼含義?
圖4 添加網絡中的C、A值
11.圖5 中傳感器內的Snort服務起到什麼作用?ossim agent指的是什麼程序?有何作用?
圖5 Snort監控拓撲
12.某公司局域網內出現了APT***,文件服務器內的重要數據被竊取,爲了查明原因和網絡取證需要,應該在什麼位置部署OSSIM系統?請在拓撲圖6中標註出來。
圖6 ***示意圖
13.如何重啓Sensor上的ossim-agent服務?
14.分佈式OSSIM系統,傳感器的UUID記錄在什麼文件?
15.如何實現將Docker容器進行OSSIM傳感器,以實現將容器放在任何客戶端系統中?
16.OSSIM採集插件分爲幾大類,採集插件通過什麼協議採集數據?
17.OSSIM通過何種機制將代理採集的LOG發送到OSSIM Server?
18.如何將plug×××中location定義的文件寫入兩個文件中?
19.SIEM控制檯上爲什麼會顯示0.0.0.0的地址?
20.alarm產生的步驟是什麼?
21.OSSIM中將alarm分爲幾類?
22.面對SSH登錄暴力破解***OSSIM將會發出什麼alarm?
23通過Metasploit和Armitag兩種方式對目標主機進程***實驗這兩種模式有哪些區別?
24.如何查詢acid事件記錄?
25.如何在OSSIM數據庫的alienvault.event表中查詢事件記錄?
26.OSSIM後臺數據庫能否可切換爲Oracle或MongoDB嗎?
27.如何查詢OSSIM數據庫的host開頭的表。
28.如圖7所示,OSSIM數據庫MySQL出現"Access denied for user 'root'@'localhost' (using password:YES)提示,該如何處理?
圖7 數據庫連接報錯信息