使用Zabbix进行风险管理

于 2022-05-17 10:57:03 发布
阅读量402 收藏
点赞数 2
分类专栏: zabbix技术干货 文章标签: 安全 web安全 zabbix
原文链接:https://blog.51cto.com/u_14483703/5298915
版权

在当今技术驱动的时代,数据泄露和网络攻击依旧是各组织面对一个重大威胁,保护 司信息的安全性从未像现在这样备受关注。 为了解决这个问题,ISO(国际标准化组织)制定了风险管理系列标准,以期对企业和NPO等组织的风险管理工作提供更高层次的参考和指导。从而提高了运营的安全性和质量。

SO/IEC 27005是构成网络风险工具包系列标准中的一个标准为各组织提供了如何通过提供一套有效风险管理框架解决这些难题的指南,根据标准,风险定义为:

风险是不确定性对目标的影响。某种特定的威胁利用目标的脆弱点进行攻击,从而给企业或组织带来损害。

不过,风险,例如服务器(servers)中发现的漏洞,可以使用监控工具来快速检测并且处理。

ISO / IEC 27005发布了风险监测的控制和指导方针,其中强调了以下内容:

“……因此必须持续进行监控以发现这些变化。”

Zabbix在风险管理中可作什么?
通过使用ZABBIX进行主动监控,可以避免一些风险,下面我们举两个列子:

服务器(servers)中的勒索软件攻击
安全团队中的一个已知威胁是勒索软件。勒索软件被称为恶意代码,在执行时加密主机上的数据,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财(赎金形式包括真实货币、比特币或其它虚拟货币)。

勒索软件的传播手段与常见的木马非常相似,最常见方式有:

利用未修补系统中的漏洞。
通过未经过滤的防火墙端口。
通过Zabbix,信息安全团队可以主动进行勒索软件检测,例如,监控WSUS服务器是否具有实时更新,为异常打开的端口设置告警,对已知勒索软件进程执行提前设置好告警等。

在以下示例中,我们设置成在防火墙上打开 ransoware wannacray(9003,9101和9001)使用的端口时,Zabbix发出告警。
在这里插入图片描述
使用net.tcp.port key,即可在Zabbix中轻松配置这类告警。 点击进入Configuration> Host> Item并点击Create Item。
在这里插入图片描述
设置Name, Type, 和 Key,如下例所示:
在这里插入图片描述
单击添加。

现在我们需要创建一个Trigger。 在Host中导航到Trigger > Create Item。 设置Name, Severity和表达式:
在这里插入图片描述
我们使用的确切表达式是:

复制
{srv_win:net.tcp.port[{HOST.IP},9003].last()}=1
单击 添加,即可完成。

文件更改
有些情况下,入侵者会修改操作系统的敏感文件,例如日志,用户,密码或服务配置。监控文件的完整性至关重要,Zabbix可以通过验证校验(checksums)来解决这个问题:
在这里插入图片描述
通过使用vfs.file.cksum key在Zabbix中配置这个检查也是相当简单的。点击Configuration> Host> Item,然后单击Create Item。
在这里插入图片描述
根据示例设置Name, Type, 和Key:
在这里插入图片描述
单击添加

当然,我们也需要创建一个Trigger,所以前往Trigger> Create Item。 设置Name, Severity和表达式,如示例所示:
在这里插入图片描述
这是我们使用的表达式:

{srv_linux:vfs.file.cksum[/etc/passwd].diff(0)}>0
单击添加并完成。

以上是社区为大家分享的两个简单案例,您可以以此为基础,根据需要进行改进和丰富完善。

结论

为了符合ISO 27005,一些企业和组织将Zabbix用作其服务器,防火墙,云和整体基础架构的首选监控解决方案。 Zabbix的主动检测和监控,都可以在基础架构监控各层面辅助信息安全人员作出决策

乐维社区
关注
专栏目录
博客
IT监控对接华三CAS云管平台监控方案
10-25 334
CAS云管平台是新华三集团自主研发的虚拟化和云计算管理平台,它主要面向数据中心,提供虚拟化和云计算管理,在教育行业、网络安全领域、高性能计算业务、企业IT部门等领域被广泛应用。在信创国产化背景下,以CAS、Fusion等为代表的国产虚拟化平台成为信创国产化的重要组成部分。适配和对接信创产品,积极融入信创生态,对于乐维打造数字化运维的第一入口,构建集中统一的智能化运维管理平台,助力数字化转型升级具有非常现实的意义。本文将重点介绍乐维监控对接CAS云管平台的实现过程与成果。
博客
企业级 IT 监控平台(一):全面覆盖的IT基础设施监控
10-24 454
企业的日常运作越来越依赖于精密的IT基础设施。技术革新的步伐不断加快,使得企业级IT监控系统成为了企业运营中不可或缺的一环。这些系统不仅保障了企业IT资产的稳定运行,还提升了安全性和整体性能。本文将深入讨论企业级IT监控系统中至关重要的一个环节——实现对IT基础设施全方位监控(全栈监控)的策略和实践。
博客
CMDB实践指南:项目规划与实施策略解析
10-22 1127
CMDB是企业IT管理中的一项强大工具,能够提升IT运维效率、支持资产管理、优化资源利用。通过科学的规划、合理的数据管理和持续的维护,企业可以成功地构建一个功能完善、数据准确的CMDB系统。在实施过程中,企业应注重目标明确、工具选择、流程制定以及团队培训,以确保CMDB项目的成功落地。一个成功的CMDB项目不仅仅是技术的实现,它更多地涉及到管理思维的转变和流程的优化。希望通过本文的解析,企业能够更加深入理解CMDB的价值,并为未来的IT管理提供有效支持。
博客
IT监控(基础篇):好的it监控系统具备什么特点?
10-21 1035
在当今数字化时代,IT系统已成为企业运营的命脉。因此,一个高效、可靠的IT监控平台对于确保业务连续性和提高运维效率至关重要。那么,一个好的IT监控平台究竟应该具备哪些特点呢?
博客
CMDB不值得…
10-17 750
在运维管理中,CMDB是一直是一个争议较大的产品,或者说作为一种管理理念,认同这一理念的人将之奉为圭臬,不惜花几十上百万、甚至数百万来打造CMDB,不认同的人觉得它甚至还不如Excel表格实用。与CMDB无缝集成的IT监控模块,提供了服务器、存储、中间件、网络设备、数据库、操作系统、探测等基础监控能力,满足基础监控需求。模型关系:支持1:1,1:N,N:N的模型关系,可快速配置各种模型关系,轻松管理不同关系类型。详尽的资产列表,清晰展示所有配置项,支持自定义筛选和排序,让资产管理变得简单直观。
博客
七载耕耘,全面盘点:Zabbix实战文章精华大全分享
10-11 361
乐维社区特别整理了这些年的“Zabbix实战文章精华大全”,囊括了zabbix基础知识、安全、安装、告警、监控配置、各类资源监控、可视化、第三方平台对接以及Zabbix的一些常见问题等一系列内容,同时整理了一些常用监控模板,旨在为广大Zabbix用户提供一个系统化、全面化的学习资源库,欢迎小伙伴们下载学习使用 (**如。Zabbix作为开源监控领域的佼佼者,凭借其卓越的功能集成、灵活的定制能力以及相对经济的运营成本,成功吸引了全球范围内众多企业的目光。
博客
硬货!Zabbix监控AIX系统服务案例
10-10 955
/opt/lw_zbx/sbin/zabbix_agentd -c /opt/lw_zbx/conf/zabbix_agentd.conf #手动启动。键值:log[/var/cics_regions/XXXX/console.msg,error|ERROR,skip,]本文将介绍如何使用Zabbix自定义键值脚本方式监控AIX 系统IBM CICS中间件进程服务以及日志文件等信息。一、首先要在AIX主机上安装Zabbix_Agent服务。三、编写自定义监控脚本,主要以bash、ksh脚本为主。
博客
实战教程!Zabbix 监控 Spark 中间件配置教程
09-26 5639
JMX(Java Management Extensions)作为Java平台标准的一部分,提供了一种标准化的机制,用于监控和管理应用程序、系统对象、设备和服务。JMX具有跨平台、灵活性强、监控能力强、易于集成与扩展、图形化界面支持以及安全性与可配置性等多方面的优势,是监控Spark等复杂Java应用程序的重要工具之一。Apache Spark 是一个开源的大数据处理框架,它提供了快速、通用和可扩展的数据处理能力,适用于执行大规模的数据处理和分析任务,特别是在批处理、实时流处理、机器学习和图计算等领域。
博客
轻松部署!龙蜥操作系统安装Zabbix7.0详细教程
09-20 825
本文将详细介绍如何在龙蜥操作系统(Anolis OS)上安装Zabbix 7.0 LTS,帮助用户搭建起一套高效、稳定的监控系统,实现对系统、网络、应用等各个方面的全面监控,为企业业务的顺利运行提供有力保障。附:Anolis操作系统下载地址:https://mirrors.aliyun.com/anolis/8.8/isos/GA/x86_64/AnolisOS-8.8-x86_64-dvd.iso。1、通过浏览器访问https://repo.zabbix.com/zabbix/7.0/
博客
如何使用zabbix内置 key 配置windows服务监控
09-11 106
Zabbix的内置key(键值)系统是其核心功能之一,允许用户通过预定义的或自定义的键值来收集目标系统的监控数据。通过合理配置Zabbix监控项(items)和使用其内置的Windows服务监控key,系统管理员可以轻松地实现对Windows服务启动状态、运行状态以及任何相关性能指标(如服务响应时间、资源占用率等)的实时监控。采用service.info[service,]内置key,其中service填入的是服务名称,而是一个可选参数,监控服务状态用state(默认)。255 ⇒ 没有这样的服务。
博客
轻松上手 | 基于RockyLinux 9.4安装部署Zabbix 7.0
09-04 1223
注:以往的Redhat/Centos配置Ip等信息都是在/etc/sysconfig/network-scripts/ifcfg-eth33或者是ifcfg-eth0,Rocky Linux不同在/etc/sysconfig/network-scripts只有个readme-ifcfg-rh.txt文件里面会指引配置Ip地址的路径信息。【正确格式参考如下】【Zabbix基本概念:https://www.zabbix.com/documentation/current/zh/】
博客
zabbix监控Tomcat服务器操作指引
08-28 559
Include=/opt/zabbix/etc/zabbix_agentd.conf.d/*.conf //zabbix agent副配置文件目录配置。],/opt/zabbix/share/zabbix/alertscripts/system_memory.sh $1 //系统内存监控脚本。],/opt/zabbix/share/zabbix/alertscripts/jvm_memory.sh $1 //jvm内存监控脚本。
博客
Prometheus部署教程——基于 HELM 方式
08-21 944
而Helm则是Kubernetes生态系统中的一个软件包管理工具,类似于Ubuntu的apt、CentOS的yum或Python的pip,专门负责管理Kubernetes应用资源,它主要作用包括应用程序封装、版本管理、依赖检查以及便于应用程序分发,使得用户能够以一种标准化和自动化的方式部署、升级和回滚应用程序。为了确保容器化应用的稳定性和性能,有效的监控和告警系统显得尤为重要。2.版本控制和回滚:Helm支持应用的版本管理,可以轻松回滚到先前的版本,如果新版本出现问题,增强了部署的安全性和灵活性。
博客
如何使用Zabbix API批量修正主机名称
08-14 332
这其实源自于Ansible安装zabbix agent的一个小Bug:有小伙伴发现,利用ansible批量安装zabbix agent后,zabbix系统上显示的主机名出错了,主机显示的名称都变成了操作系统的IP(如下图),这在一定程度增加了维护难度。注:API地址为zabbix web访问地址,如采用分布式部署(即zabbix web与 zabbix server不在同一台服务器),请勿填写zabbix server服务器地址。这样我们就实现了利用Zabbix API 批量修改主机显示的名称。
博客
如何利用 LNMP 搭建 WordPress 站点
08-07 457
作者 乐维社区(forum.lwops.cn) 许远在这个信息爆炸的时代,拥有一个能够迅速传达信息、展示个性、并能够与世界互动的在线平台,已成为企业和个人的基本需求。WordPress,以其无与伦比的易用性和强大的扩展性,成为了构建此类平台的首选工具。而LNMP,这个由Linux、Nginx、MySQL和PHP组成的强大组合,为WordPress提供了一个稳定而高效的运行环境。
博客
zabbix应用教程:基于Nginx页面响应的日志监控用例
08-01 793
监控日志的两种key(log和logtr),本文只针对log 进行介绍。file:日志文件(必须填写绝对路径)。regexp:要匹配内容的正则表达式,或者直接写你要检索的内容也可以,例如我想检索带ERROR关键词的记录encoding:编码相关,留空即可maxlines:一次性最多提交多少行,这个参数覆盖配置文件zabbxi_agentd.conf中的’MaxLinesPerSecond’,我们也可以留空mode:默认是all,也可以是skip,skip会跳过老数据。
博客
Zabbix监控TiDB数据库教程
07-24 809
docker run --privileged=true -d --name tidb-server -p 4000:4000 -p 10080:10080 docker.anyhub.us.kg/pingcap/tidb #创建并运行容器,将会在后台启动一个名为 tidb-server 的容器,并将容器的4000端口映射到宿主机的4000端口、容器的10080端口映射到宿主机的10080端口。点击配置->主机->创建主机,填写主机名称,选择刚刚导入的TiDB监控模板,设置一个群组。
博客
如何生成好看的zabbix告警报表并发送邮件
07-17 1225
小东所在公司搭建了一套zabbix开源监控,于是小东利用自己的专业知识,实现了zabbix告警统计,并生成漂亮的告警报表发送给自己的领导,得到了领导的称赞。基于python脚本实现,安装psqcopg2库,查询pg数据库的数据,主要是统计出最近一个月内告警出现最多的触发器,返回10-20条数据即可。Zabbix开源监控是IT监控领域的佼佼者,拥有强大的告警统计与报表生成能力,但对于刚上手的小白来说可能还有些难度,本文将详细介绍zabbix告警报表的生成过程及发送邮件的操作步骤。需要安装一下python库。
博客
kafka与zookeeper的SSL认证教程
07-11 1923
setAcl / ip:127.0.0.1:cdrwa,auth:kafka:kafka@123:cdrwa #(设置可以登陆的IP和用户账号密码,admin是上面的zk的配置文件里面定义的管理员,Kafka用户是/asop/kafka/kafka_2.11-2.1.0/config/kafka_server_jaas.conf文件里面的定义的kafka连接zk的用户 (Client下面的))/asop/zk/zookeeper-3.4.13/bin/zkCli.sh #进入zk的命令行模式。
博客
zabbix小白入门:从SNMP配置到图形展示——以IBM服务器为例
07-03 553
第二个为SNMPTrap配置,配置好Community name ITCloud(配置团体名),Access type选择为Trap,Trap主机IP,点击save保存。在运维实践中,Zabbix作为一款强大的开源监控工具,被广泛应用于服务器、网络设备和应用程序的监控,成为保障业务连续性和高效运行的关键。2、配置SNMP和SNMPTrap。本文将通过具体的IBM服务器监控案例,详细讲解如何配置SNMP(简单网络管理协议)来收集IBM服务器的性能数据,并通过Zabbix的界面进行数据展示和分析,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值