Описание тега ossec
OSSEC - это система обнаружения вторжений с открытым исходным кодом. Он выполняет анализ журналов, проверку целостности файлов, мониторинг политик, обнаружение руткитов, оповещения в режиме реального времени и активный ответ. (с сайта www.ossec.net)
1
ответ
Агент OSSEC за NAT
Я работаю над развертыванием OSSEC, где у меня будет несколько агентов за 1 общедоступным IP. Ниже приведен пример настройки Частная сеть OSSEC-Agent1 (192.168.1.10) OSSEC-Agent2 (192.168.50.33) OSSEC-Agent3 (10.10.10.1) Эти IP-адреса NAT к 1 общедо…
07 июн '12 в 21:22
1
ответ
Скрипт отправки электронной почты с адреса недействителен
Я отправляю уведомления по электронной почте из сценария активного ответа OSSEC firewall-drop.sh, но когда письмо отправляется через него, адрес FROM выглядит следующим образом -@mydomain.com это должен быть ossec@mydomain.com или root@ossec.mydomai…
16 авг '12 в 11:17
1
ответ
Postfix отправлять только без полного доменного имени
Я использую OSSEC и Nagios для создания своего рода системы HID в нашей сети. Пока все идет гладко; однако я не могу заставить OSSEC отправлять уведомления по электронной почте. Сейчас я пытаюсь получить postfix для отправки электронных писем, а зат…
26 дек '15 в 01:55
4
ответа
Простой мониторинг целостности файлов на уровне приложений и обнаружение вторжений (IDS)
Мы искали простое решение для мониторинга целостности файлов в CentOS/Linux, которое будет работать на уровне приложений. Мы не ищем IDS на уровне ОС / сети, так как OSSEC и другие делают это довольно хорошо. Мы рассмотрели централизованный (OSSEC) …
17 авг '13 в 13:06
1
ответ
Подавить электронную почту OSSEC для неудачного root ssh
Я использую OSSEC в качестве HIDS на сервере Ubuntu 12.10, и он регулярно (3-4 раза в день) отправляет мне такое уведомление: (обратите внимание, что последний октет IP-адреса был изменен на 'xxx', чтобы защитить виновный) OSSEC HIDS Notification. 2…
21 ноя '13 в 23:37
1
ответ
OSSEC Ignore Alert
У меня есть OSSEC 2.94, настроенный и работающий на CentOS7. Я отправляю электронные письма при соответствующих условиях оповещения. Похоже, что все работает правильно в отношении отправки оповещений. Однако каждую ночь, как часть процесса резервног…
30 авг '18 в 18:29
1
ответ
Агент Windows OSSEC не может синхронизировать конфигурацию
Последние несколько дней это раздражало, и мне еще предстоит выяснить причину. В лаборатории я установил две виртуальные машины, OSSEC Server Appliance и клиент Windows 7 x64 Enterprise SP1. Кажется, что оба работают хорошо, когда занимаются своими …
08 окт '17 в 06:27
0
ответов
Правило OSSEC не генерирует предупреждение
Я настроил мониторинг вывода команд в файле конфигурации агента OSSEC (ossec.conf) на Windows Server 2012 R2 - <localfile> <log_format>command</log_format> <command>query user</command> <frequency>10</frequency…
01 окт '18 в 11:25
1
ответ
Генерация оповещений по модели ossec (сервер-агент)
Я очень новичок в OSSEC. Я использую модель сервера-агента. Я хочу создать оповещение для следующих действий (на стороне агента): 1) Пример оповещения об удалении логов Я добавил правила для них в агентских ossec.conf с помощью <localfile> тег…
28 авг '12 в 09:16
2
ответа
Как узнать, что файлы md5 изменяются вирусом или системой centos
Я установил OSSSEC, чтобы файлы были изменены или нет. Но иногда это дает мне ложные проверки и контрольные суммы целостности, как следующие файлы поменяли. Как я могу сделать так, чтобы файлы были связаны с системой, а не вирусом? Это очень запутан…
08 окт '10 в 06:28
4
ответа
OSSEC не работает
У меня есть два экземпляра ec2. В одном я установил сервер ossec, а в другом - агент ossec. Вот мой конфиг сервера INBOUND (группа безопасности / межсетевой экран): port:514 source:0.0.0.0/0 port:1514 source:0.0.0.0/0 Но, похоже, не работает. В моем…
28 авг '12 в 06:57
0
ответов
Ошибка OSSEC, файл "не найден или не может быть обработан"
Я не могу раздавить эту ошибку. Я недавно установил OSSEC на каплю Digital Ocean, и я получаю это сообщение каждые 15 минут или около того. Я попытался заблокировать IP-адреса клиента с помощью UFW, попытался найти на сервере этот файл POST_ip_port.…
17 июн '15 в 21:02
1
ответ
Изменить заголовки писем с предупреждениями OSSEC "От"
Я хотел бы знать, как изменить имя в заголовке "От" для писем, отправленных OSSEC. Я не мог найти никакой информации об этом. Оповещения, которые я получаю от моего сервера, довольно хорошо организованы. А OSSEC и есть единственный, который я пока н…
12 апр '15 в 06:56
1
ответ
Только что установили OSSEC, что дальше?
Нам нужен мониторинг целостности файлов на наших серверах Windows (веб-сервер и сервер баз данных), и прежде чем мы начнем копать деньги на Tripwire, я проверяю OSSEC. Я установил локальную установку для тестирования на своем ноутбуке с Ubuntu, и он…
24 май '11 в 17:16
2
ответа
OSSEC как SIEM
Я работаю над проектом агрегации журналов и хотел бы добавить некоторые мелкие корреляции / аналитику безопасности в смесь. В настоящее время у меня есть журналы с ~400 серверов, входящих в окно syslog-ng. Я искал несколько программ, таких как SEC (…
16 сен '13 в 18:04
2
ответа
OSSEC крупномасштабное развертывание
У нас есть дата-центр, и я, как счастливый пользователь OSSEC, пытаюсь убедить свое руководство использовать его для обнаружения вторжений на хост. Однако я никогда не развертывал его на более чем нескольких серверах, и я не уверен, масштабируется л…
12 май '12 в 17:37
1
ответ
Не могу открыть порт 1514 в Ubuntu Iptables
Я устанавливаю OSSEC, и он говорит, что мне нужно открыть порты 1514 и 514 в брандмауэре. Теперь я добавил правило для порта 1514, но я все еще не могу получить сообщение, если я использую telney как ossec-hids-2.5]# telnet 192.168.1.95 1514 Trying …
07 окт '10 в 01:14
1
ответ
Ossec тесты и проверки
Я только что установил OSSec соответственно в качестве сервера. Когда он попросил мою электронную почту, я вставил свой адрес GMail и SMTP, я не был уверен, поэтому я сначала установил его как localhost. Затем он запускает ряд команд соответственно.…
29 дек '12 в 17:26
2
ответа
Использовать активную реакцию OSSEC за балансировщиком нагрузки
На некоторых веб-серверах, работающих за Amazon ELB, установлен OSSEC. Проблема в том, что когда активируется активный ответ, он блокирует IP-адрес балансировщика нагрузки. Есть ли способ использовать активный ответ для блокировки клиентов, отправля…
23 май '11 в 12:01
1
ответ
OSSEC рассматривает несколько файлов как один
Некоторое время назад я писал об использовании OSSEC в качестве sudo SIEM для отправки журналов с различных серверов на один сервер OSSEC и использования корреляции для отключения предупреждений. В целом, это решение работало очень хорошо, но мне не…
27 июн '17 в 20:21