OSSEC
OSSEC 是什么?
OSSEC免费开源的主机入侵检测系统,支持日志分析、文件完整性监控、Rootkit 检测与主动响应,覆盖 Linux、Windows、macOS 与 Solaris。
OSSEC(Open Source Security)是 Daniel B. Cid 于 2004 年编写的主机入侵检测系统(HIDS),目前由 Atomicorp 领衔的 OSSEC 基金会以 GPLv2 协议维护。中央管理端从安装于各主机的代理收集日志、文件哈希基线、Windows 注册表变更及进程列表,并通过约 1500 条规则的引擎检测暴力破解、权限提升、恶意软件驻留与策略违规。OSSEC 支持主动响应(防火墙封禁、账号锁定),并可与 Splunk、Graylog 与 ELK 集成。它是 Wazuh 的技术前身,后者于 2015 年从该项目派生,加入了更现代的仪表盘与云原生能力。
● 示例
- 01
通过 syscheck 文件完整性模块检测被篡改的 SUID 二进制。
- 02
在 sshd 连续五次登录失败后,借助主动响应在防火墙阻断该 IP。
● 常见问题
OSSEC 是什么?
免费开源的主机入侵检测系统,支持日志分析、文件完整性监控、Rootkit 检测与主动响应,覆盖 Linux、Windows、macOS 与 Solaris。 它属于网络安全的 防御与运营 分类。
OSSEC 是什么意思?
免费开源的主机入侵检测系统,支持日志分析、文件完整性监控、Rootkit 检测与主动响应,覆盖 Linux、Windows、macOS 与 Solaris。
OSSEC 是如何工作的?
OSSEC(Open Source Security)是 Daniel B. Cid 于 2004 年编写的主机入侵检测系统(HIDS),目前由 Atomicorp 领衔的 OSSEC 基金会以 GPLv2 协议维护。中央管理端从安装于各主机的代理收集日志、文件哈希基线、Windows 注册表变更及进程列表,并通过约 1500 条规则的引擎检测暴力破解、权限提升、恶意软件驻留与策略违规。OSSEC 支持主动响应(防火墙封禁、账号锁定),并可与 Splunk、Graylog 与 ELK 集成。它是 Wazuh 的技术前身,后者于 2015 年从该项目派生,加入了更现代的仪表盘与云原生能力。
如何防御 OSSEC?
针对 OSSEC 的防御通常结合技术控制与运营实践,详见上方完整定义。
OSSEC 还有哪些其他名称?
常见的别称包括: OSSEC HIDS。