OSSEC
OSSEC とは何ですか?
OSSECLinux・Windows・macOS・Solaris に対応し、ログ解析、ファイル完全性監視、ルートキット検出、アクティブレスポンスを備える無償オープンソースのホスト型侵入検知システム。
OSSEC(Open Source Security)は 2004 年に Daniel B. Cid 氏が作成したホスト型侵入検知システム(HIDS)で、現在は Atomicorp が主導する OSSEC Foundation により GPLv2 ライセンスで保守されています。中央マネージャーは、各ホストに導入したエージェントからログ、ファイルハッシュのベースライン、Windows レジストリの変更、プロセス一覧を収集し、約 1,500 件のルールから成るエンジンでブルートフォース、権限昇格、マルウェア永続化、ポリシー違反を検出します。ファイアウォール遮断やアカウントロックといったアクティブレスポンスに対応し、Splunk、Graylog、ELK との連携も可能です。OSSEC は Wazuh の技術的な前身であり、Wazuh は 2015 年に本プロジェクトからフォークし、モダンなダッシュボードやクラウド機能を追加しました。
● 例
- 01
syscheck ファイル整合性モジュールで改変された SUID バイナリを検知する。
- 02
sshd で 5 回ログインに失敗した IP をアクティブレスポンスでファイアウォール側から遮断する。
● よくある質問
OSSEC とは何ですか?
Linux・Windows・macOS・Solaris に対応し、ログ解析、ファイル完全性監視、ルートキット検出、アクティブレスポンスを備える無償オープンソースのホスト型侵入検知システム。 サイバーセキュリティの 防御と運用 カテゴリに属します。
OSSEC とはどういう意味ですか?
Linux・Windows・macOS・Solaris に対応し、ログ解析、ファイル完全性監視、ルートキット検出、アクティブレスポンスを備える無償オープンソースのホスト型侵入検知システム。
OSSEC はどのように機能しますか?
OSSEC(Open Source Security)は 2004 年に Daniel B. Cid 氏が作成したホスト型侵入検知システム(HIDS)で、現在は Atomicorp が主導する OSSEC Foundation により GPLv2 ライセンスで保守されています。中央マネージャーは、各ホストに導入したエージェントからログ、ファイルハッシュのベースライン、Windows レジストリの変更、プロセス一覧を収集し、約 1,500 件のルールから成るエンジンでブルートフォース、権限昇格、マルウェア永続化、ポリシー違反を検出します。ファイアウォール遮断やアカウントロックといったアクティブレスポンスに対応し、Splunk、Graylog、ELK との連携も可能です。OSSEC は Wazuh の技術的な前身であり、Wazuh は 2015 年に本プロジェクトからフォークし、モダンなダッシュボードやクラウド機能を追加しました。
OSSEC からどのように防御しますか?
OSSEC に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OSSEC の別名は何ですか?
一般的な別名: OSSEC HIDS。
● 関連用語
- defense-ops№ 1225
Wazuh
OSSEC を 2015 年にフォークして生まれたオープンソースの XDR/SIEM。エンドポイント、クラウド、コンテナのテレメトリを Wazuh Indexer と Dashboard で統合する。
- defense-ops№ 416
ファイル整合性監視 (FIM)
重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- forensics-ir№ 627
ログ解析
システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。