OSSEC
Что такое OSSEC?
OSSECБесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
OSSEC (Open Source Security) — это HIDS, изначально написанная Дэниелом Б. Сидом в 2004 году и сегодня сопровождаемая фондом OSSEC Foundation под руководством Atomicorp на условиях GPLv2. Центральный менеджер собирает с агентов на хостах журналы, эталоны хешей файлов, изменения реестра Windows и списки процессов, а затем прогоняет их через движок примерно из 1500 правил для выявления брутфорса, повышения привилегий, закрепления вредоносного ПО и нарушений политик. OSSEC поддерживает активное реагирование (блокировка на файрволе, блокировка учётной записи) и интегрируется со Splunk, Graylog и ELK. Это технический предшественник Wazuh, который в 2015 году отделился от проекта, добавив современные дашборды и облачные возможности.
● Примеры
- 01
Обнаружение изменённых SUID-бинарей модулем целостности файлов syscheck.
- 02
Блокировка IP-адреса на файрволе после пяти неудачных входов sshd через активное реагирование.
● Частые вопросы
Что такое OSSEC?
Бесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris. Относится к категории Защита и операции в кибербезопасности.
Что означает OSSEC?
Бесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
Как защититься от OSSEC?
Защита от OSSEC обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OSSEC?
Распространённые альтернативные названия: OSSEC HIDS.