OSSEC
¿Qué es OSSEC?
OSSECSistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris.
OSSEC (Open Source Security) es un HIDS escrito originalmente por Daniel B. Cid en 2004 y mantenido por la OSSEC Foundation liderada por Atomicorp bajo licencia GPLv2. Un manager central recoge logs, hashes de fichero, cambios en el Registro de Windows y listados de procesos desde los agentes instalados en los hosts, y los procesa con un motor de unas 1500 reglas para detectar fuerza bruta, escalada de privilegios, persistencia de malware y violaciones de politica. Soporta respuesta activa (bloqueo en firewall, cierre de cuentas) e integracion con Splunk, Graylog y ELK. Es el antepasado tecnico de Wazuh, que se separo del proyecto en 2015 anadiendo dashboards modernos y capacidades cloud.
● Ejemplos
- 01
Detectar binarios SUID modificados mediante el modulo syscheck de integridad de ficheros.
- 02
Bloquear una IP en el firewall tras cinco fallos de login sshd usando respuesta activa.
● Preguntas frecuentes
¿Qué es OSSEC?
Sistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa OSSEC?
Sistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris.
¿Cómo defenderse de OSSEC?
Las defensas contra OSSEC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OSSEC?
Nombres alternativos comunes: OSSEC HIDS.