OSSEC
Что такое OSSEC?
OSSECБесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
OSSEC (Open Source Security) — это HIDS, изначально написанная Дэниелом Б. Сидом в 2004 году и сегодня сопровождаемая фондом OSSEC Foundation под руководством Atomicorp на условиях GPLv2. Центральный менеджер собирает с агентов на хостах журналы, эталоны хешей файлов, изменения реестра Windows и списки процессов, а затем прогоняет их через движок примерно из 1500 правил для выявления брутфорса, повышения привилегий, закрепления вредоносного ПО и нарушений политик. OSSEC поддерживает активное реагирование (блокировка на файрволе, блокировка учётной записи) и интегрируется со Splunk, Graylog и ELK. Это технический предшественник Wazuh, который в 2015 году отделился от проекта, добавив современные дашборды и облачные возможности.
● Примеры
- 01
Обнаружение изменённых SUID-бинарей модулем целостности файлов syscheck.
- 02
Блокировка IP-адреса на файрволе после пяти неудачных входов sshd через активное реагирование.
● Частые вопросы
Что такое OSSEC?
Бесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris. Относится к категории Защита и операции в кибербезопасности.
Что означает OSSEC?
Бесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
Как работает OSSEC?
OSSEC (Open Source Security) — это HIDS, изначально написанная Дэниелом Б. Сидом в 2004 году и сегодня сопровождаемая фондом OSSEC Foundation под руководством Atomicorp на условиях GPLv2. Центральный менеджер собирает с агентов на хостах журналы, эталоны хешей файлов, изменения реестра Windows и списки процессов, а затем прогоняет их через движок примерно из 1500 правил для выявления брутфорса, повышения привилегий, закрепления вредоносного ПО и нарушений политик. OSSEC поддерживает активное реагирование (блокировка на файрволе, блокировка учётной записи) и интегрируется со Splunk, Graylog и ELK. Это технический предшественник Wazuh, который в 2015 году отделился от проекта, добавив современные дашборды и облачные возможности.
Как защититься от OSSEC?
Защита от OSSEC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OSSEC?
Распространённые альтернативные названия: OSSEC HIDS.
● Связанные термины
- defense-ops№ 1225
Wazuh
Открытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
- defense-ops№ 416
Мониторинг целостности файлов (FIM)
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- forensics-ir№ 627
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.