OSSEC
O que é OSSEC?
OSSECSistema de detecao de intrusao baseado em host, gratuito e open source, que efetua analise de logs, integridade de ficheiros, detecao de rootkits e resposta ativa em Linux, Windows, macOS e Solaris.
O OSSEC (Open Source Security) e um HIDS escrito originalmente por Daniel B. Cid em 2004, atualmente mantido pela OSSEC Foundation liderada pela Atomicorp sob licenca GPLv2. Um manager central recolhe logs, hashes de ficheiros, alteracoes no Registro do Windows e listas de processos a partir de agentes instalados nos hosts e processa-os atraves de um motor com cerca de 1500 regras para detetar brute-force, elevacao de privilegios, persistencia de malware e violacoes de politica. Suporta resposta ativa (bloqueio em firewall, bloqueio de contas) e integra-se com Splunk, Graylog e ELK. E o antepassado tecnico do Wazuh, que fez fork do projeto em 2015 acrescentando dashboards modernos e capacidades cloud.
● Exemplos
- 01
Detetar binarios SUID modificados atraves do modulo de integridade syscheck.
- 02
Bloquear um IP na firewall apos cinco falhas de login sshd usando resposta ativa.
● Perguntas frequentes
O que é OSSEC?
Sistema de detecao de intrusao baseado em host, gratuito e open source, que efetua analise de logs, integridade de ficheiros, detecao de rootkits e resposta ativa em Linux, Windows, macOS e Solaris. Pertence à categoria Defesa e operações da cibersegurança.
O que significa OSSEC?
Sistema de detecao de intrusao baseado em host, gratuito e open source, que efetua analise de logs, integridade de ficheiros, detecao de rootkits e resposta ativa em Linux, Windows, macOS e Solaris.
Como funciona OSSEC?
O OSSEC (Open Source Security) e um HIDS escrito originalmente por Daniel B. Cid em 2004, atualmente mantido pela OSSEC Foundation liderada pela Atomicorp sob licenca GPLv2. Um manager central recolhe logs, hashes de ficheiros, alteracoes no Registro do Windows e listas de processos a partir de agentes instalados nos hosts e processa-os atraves de um motor com cerca de 1500 regras para detetar brute-force, elevacao de privilegios, persistencia de malware e violacoes de politica. Suporta resposta ativa (bloqueio em firewall, bloqueio de contas) e integra-se com Splunk, Graylog e ELK. E o antepassado tecnico do Wazuh, que fez fork do projeto em 2015 acrescentando dashboards modernos e capacidades cloud.
Como se defender contra OSSEC?
As defesas contra OSSEC costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OSSEC?
Nomes alternativos comuns: OSSEC HIDS.
● Termos relacionados
- defense-ops№ 1225
Wazuh
Plataforma XDR e SIEM open source — fork do OSSEC desde 2015 — que unifica telemetria de endpoint, cloud e contentores com dashboards integrados sobre o Wazuh Indexer e o Dashboard.
- defense-ops№ 416
Monitoramento de Integridade de Ficheiros (FIM)
Controlo de seguranca que deteta alteracoes inesperadas em ficheiros criticos de sistema, aplicacao e configuracao comparando-os com uma baseline criptografica conhecida.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- forensics-ir№ 627
Análise de registos
Revisão sistemática de registos de sistema, aplicações e segurança para detetar, investigar e reconstruir eventos relevantes para a segurança.