OSSEC
Was ist OSSEC?
OSSECKostenloses, quelloffenes Host-basiertes Intrusion-Detection-System mit Log-Analyse, Dateiintegritats-Monitoring, Rootkit-Erkennung und Active Response unter Linux, Windows, macOS und Solaris.
OSSEC (Open Source Security) ist ein HIDS, das ursprunglich 2004 von Daniel B. Cid geschrieben und heute von der Atomicorp-gefuhrten OSSEC Foundation unter GPLv2 gepflegt wird. Ein zentraler Manager sammelt Logs, Datei-Hash-Baselines, Anderungen der Windows-Registry und Prozesslisten von Agents auf den Hosts und lasst sie durch eine Engine mit rund 1.500 Regeln laufen, um Brute-Force, Privilegienerweiterung, Malware-Persistenz und Policy-Verstosse zu erkennen. OSSEC unterstutzt Active Response (Firewall-Block, Konto-Sperre) und integriert sich mit Splunk, Graylog und ELK. Es ist der technische Vorganger von Wazuh, das das Projekt 2015 abspaltete und um moderne Dashboards und Cloud-Funktionen erweiterte.
● Beispiele
- 01
Erkennen veranderter SUID-Binaries uber das Datei-Integritatsmodul syscheck.
- 02
Sperren einer IP an der Firewall nach funf fehlgeschlagenen sshd-Logins per Active Response.
● Häufige Fragen
Was ist OSSEC?
Kostenloses, quelloffenes Host-basiertes Intrusion-Detection-System mit Log-Analyse, Dateiintegritats-Monitoring, Rootkit-Erkennung und Active Response unter Linux, Windows, macOS und Solaris. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet OSSEC?
Kostenloses, quelloffenes Host-basiertes Intrusion-Detection-System mit Log-Analyse, Dateiintegritats-Monitoring, Rootkit-Erkennung und Active Response unter Linux, Windows, macOS und Solaris.
Wie funktioniert OSSEC?
OSSEC (Open Source Security) ist ein HIDS, das ursprunglich 2004 von Daniel B. Cid geschrieben und heute von der Atomicorp-gefuhrten OSSEC Foundation unter GPLv2 gepflegt wird. Ein zentraler Manager sammelt Logs, Datei-Hash-Baselines, Anderungen der Windows-Registry und Prozesslisten von Agents auf den Hosts und lasst sie durch eine Engine mit rund 1.500 Regeln laufen, um Brute-Force, Privilegienerweiterung, Malware-Persistenz und Policy-Verstosse zu erkennen. OSSEC unterstutzt Active Response (Firewall-Block, Konto-Sperre) und integriert sich mit Splunk, Graylog und ELK. Es ist der technische Vorganger von Wazuh, das das Projekt 2015 abspaltete und um moderne Dashboards und Cloud-Funktionen erweiterte.
Wie schützt man sich gegen OSSEC?
Schutzmaßnahmen gegen OSSEC kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für OSSEC?
Übliche alternative Bezeichnungen: OSSEC HIDS.
● Verwandte Begriffe
- defense-ops№ 1225
Wazuh
Quelloffene XDR- und SIEM-Plattform — 2015 als Fork von OSSEC entstanden — die Endpoint-, Cloud- und Container-Telemetrie auf Wazuh Indexer und Dashboard vereint.
- defense-ops№ 416
File Integrity Monitoring (FIM)
Sicherheitsmechanismus, der unerwartete Aenderungen an kritischen System-, Anwendungs- und Konfigurationsdateien anhand einer kryptografischen Baseline erkennt.
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- forensics-ir№ 627
Log-Analyse
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.