OSSEC
¿Qué es OSSEC?
OSSECSistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris.
OSSEC (Open Source Security) es un HIDS escrito originalmente por Daniel B. Cid en 2004 y mantenido por la OSSEC Foundation liderada por Atomicorp bajo licencia GPLv2. Un manager central recoge logs, hashes de fichero, cambios en el Registro de Windows y listados de procesos desde los agentes instalados en los hosts, y los procesa con un motor de unas 1500 reglas para detectar fuerza bruta, escalada de privilegios, persistencia de malware y violaciones de politica. Soporta respuesta activa (bloqueo en firewall, cierre de cuentas) e integracion con Splunk, Graylog y ELK. Es el antepasado tecnico de Wazuh, que se separo del proyecto en 2015 anadiendo dashboards modernos y capacidades cloud.
● Ejemplos
- 01
Detectar binarios SUID modificados mediante el modulo syscheck de integridad de ficheros.
- 02
Bloquear una IP en el firewall tras cinco fallos de login sshd usando respuesta activa.
● Preguntas frecuentes
¿Qué es OSSEC?
Sistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa OSSEC?
Sistema de deteccion de intrusiones basado en host, gratuito y de codigo abierto, que realiza analisis de logs, integridad de ficheros, deteccion de rootkits y respuesta activa en Linux, Windows, macOS y Solaris.
¿Cómo funciona OSSEC?
OSSEC (Open Source Security) es un HIDS escrito originalmente por Daniel B. Cid en 2004 y mantenido por la OSSEC Foundation liderada por Atomicorp bajo licencia GPLv2. Un manager central recoge logs, hashes de fichero, cambios en el Registro de Windows y listados de procesos desde los agentes instalados en los hosts, y los procesa con un motor de unas 1500 reglas para detectar fuerza bruta, escalada de privilegios, persistencia de malware y violaciones de politica. Soporta respuesta activa (bloqueo en firewall, cierre de cuentas) e integracion con Splunk, Graylog y ELK. Es el antepasado tecnico de Wazuh, que se separo del proyecto en 2015 anadiendo dashboards modernos y capacidades cloud.
¿Cómo defenderse de OSSEC?
Las defensas contra OSSEC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OSSEC?
Nombres alternativos comunes: OSSEC HIDS.
● Términos relacionados
- defense-ops№ 1225
Wazuh
Plataforma XDR y SIEM de codigo abierto —fork de OSSEC desde 2015— que unifica telemetria de endpoint, cloud y contenedores con dashboards integrados sobre Wazuh Indexer y Dashboard.
- defense-ops№ 416
Monitorizacion de Integridad de Archivos (FIM)
Control de seguridad que detecta cambios inesperados en archivos criticos del sistema operativo, aplicaciones y configuracion comparandolos con una linea base criptografica.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- forensics-ir№ 627
Análisis de registros
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.