Особенности OSsec против Snort / Tripwire для соответствия PCI

Question

Особенности OSsec против Snort / Tripwire для соответствия PCI

Я ищу обоснованное мнение о преимуществах ossec по сравнению с snort/tripwire/nessus

Поэтому кто-нибудь пролил свет на то, какие функции, которые дает ossec, нельзя воспроизвести с помощью tripwire (или iwatch) и фыркать, возможно, с использованием nessus? В частности, в отношении соответствия требованиям PCI разделы 10 и 11.

Кроме того, гибридная установка snort и т.д. принесет какие-либо функции, которых нет в ossec?

4

linux security ids

Источник

Sirex 30 июл '10 в 14:50

3 ответа

Решение

Я согласен с другими, которые опубликовали, у них разные цели. Поскольку ваш основной вопрос, похоже, касается OSSEC, я предполагаю, что вы в основном ищете своего рода централизованного менеджера. OSSIM и Prelude - другие варианты в этой области, хотя я думаю, что OSSIM немного лучше.

OSSIM ~ Прелюдия

Snorby стоит посмотреть в отношении управления Snort и отчетности.

Snorby

Я обнаружил, что эта страница (хотя и слегка предвзятая) хорошо читается в отношении идентификаторов файловой системы.

Сравнение нескольких программ мониторинга целостности хоста / файла

3

Источник

sinping 11 авг '10 в 21:15

Насколько я могу судить, tripwire следит за изменениями файловой системы, что и OSSEC. Но OSSEC также просматривает журналы и имеет длинный список правил для выявления и уведомления о ненормальной активности. Эти правила легко определить, поэтому вы также можете иметь свои собственные локальные правила.

В OSSEC есть центральный менеджер, где вы можете контролировать конфигурацию и активность агентов.

В OSSEC есть правила для snort, так что вы можете связать их вместе и использовать OSSEC для фильтрации предупреждений snort.

Что касается мониторинга PCI, OSSEC может помочь в автоматическом анализе журналов.

1

Источник

chmeee 30 июл '10 в 21:05

Другие вопросы по тегам linux security ids

gravyface 30 июл '10 в 15:13 2010-07-30 15:13 · Accepted Answer · 2010-07-30 15:13

Это несправедливое сравнение, поскольку не все эти продукты делают то же самое.

Snort - это система обнаружения вторжений в сеть.

ossec - это основанная на хосте система вторжения в сеть, как tripwire и iwatch, поскольку они контролируют целостность файла / файловой системы / системы на предмет изменений и аномалий.

Nessus - это сканер уязвимостей Tenable, который сканирует сеть, проверяет, где он может (и ему предоставлены учетные данные), ищет известные уязвимости и возможные неправильные конфигурации в отношении большого "фида".