OSSEC
Qu'est-ce que OSSEC ?
OSSECSysteme de detection d'intrusion base hote, gratuit et open source, qui effectue analyse de logs, integrite des fichiers, detection de rootkits et reponse active sur Linux, Windows, macOS et Solaris.
OSSEC (Open Source Security) est un HIDS ecrit a l'origine par Daniel B. Cid en 2004, aujourd'hui maintenu sous licence GPLv2 par la fondation OSSEC menee par Atomicorp. Un manager central collecte logs, empreintes de fichiers, modifications du Registre Windows et listes de processus depuis des agents installes sur les hotes, puis les traite via un moteur d'environ 1 500 regles pour detecter brute-force, elevation de privilege, persistance de malware et violations de politique. OSSEC propose une reponse active (blocage firewall, verrouillage de comptes) et s'integre a Splunk, Graylog et ELK. C'est l'ancetre technique de Wazuh, qui a fork le projet en 2015 pour y ajouter des tableaux de bord modernes et des fonctions cloud.
● Exemples
- 01
Detecter des binaires SUID modifies via le module d'integrite de fichiers syscheck.
- 02
Bloquer une IP au firewall apres cinq echecs de login sshd grace a la reponse active.
● Questions fréquentes
Qu'est-ce que OSSEC ?
Systeme de detection d'intrusion base hote, gratuit et open source, qui effectue analyse de logs, integrite des fichiers, detection de rootkits et reponse active sur Linux, Windows, macOS et Solaris. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie OSSEC ?
Systeme de detection d'intrusion base hote, gratuit et open source, qui effectue analyse de logs, integrite des fichiers, detection de rootkits et reponse active sur Linux, Windows, macOS et Solaris.
Comment fonctionne OSSEC ?
OSSEC (Open Source Security) est un HIDS ecrit a l'origine par Daniel B. Cid en 2004, aujourd'hui maintenu sous licence GPLv2 par la fondation OSSEC menee par Atomicorp. Un manager central collecte logs, empreintes de fichiers, modifications du Registre Windows et listes de processus depuis des agents installes sur les hotes, puis les traite via un moteur d'environ 1 500 regles pour detecter brute-force, elevation de privilege, persistance de malware et violations de politique. OSSEC propose une reponse active (blocage firewall, verrouillage de comptes) et s'integre a Splunk, Graylog et ELK. C'est l'ancetre technique de Wazuh, qui a fork le projet en 2015 pour y ajouter des tableaux de bord modernes et des fonctions cloud.
Comment se défendre contre OSSEC ?
Les défenses contre OSSEC combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OSSEC ?
Noms alternatifs courants : OSSEC HIDS.
● Termes liés
- defense-ops№ 1225
Wazuh
Plateforme XDR et SIEM open source — fork d'OSSEC depuis 2015 — qui unifie la telemetrie endpoint, cloud et conteneurs avec des tableaux de bord integres sur Wazuh Indexer et Dashboard.
- defense-ops№ 416
Monitoring d'integrite de fichiers (FIM)
Controle de securite qui detecte les modifications inattendues sur les fichiers systeme, applicatifs et de configuration sensibles en les comparant a une baseline cryptographique de reference.
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- forensics-ir№ 627
Analyse des journaux
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.