OSSEC HIDS

OSSEC è un a-open source gratuito e basato su host Intrusion Detection System che consente di eseguire l'analisi dei log, file che il controllo di integrità, il monitoraggio delle politiche, rilevamento dei rootkit, allarmi in tempo reale e la risposta attiva.
OSSEC è multipiattaforma e funziona su Mac OS X, Windows e Linux

Cosa c'è di nuovo in questa versione:.

• Installazione:
• Server:
• aggiornamento Solaris fissa installare (ddpbsd)
• Agente:
• sceneggiatura InstallAgent.sh fissa per addusers Mac OSX
• Distinguere OSX 10.5 da versioni precedenti
• Consenti os_auth risolvere direttore hostname all'indirizzo IP
• Risolto Windows Agent
• SysCheck:
• estesa dimensione del file da un numero intero a un intero lungo
• agenti:
• Fai Heartbeat intervallo configuable (Christobel Rosa)
• è stato fissato a intervalli di 10 minuti, ora configurabile
• Usa ossec.conf & quot; notify_time & quot ;, & quot; time-riconnessione & quot;
• Per entrambi * agenti nix e Windows
• Più informazioni TBD (da documentare)
• Accedi monitoraggio / analisi:
• Aggiunta nuova funzione & quot; custom_alert_output & quot; (Christobel Rosa)
• Più informazioni TBD (da documentare)
• Aggiunto verifica di duplicati di ID regola (cgzones)
• Regole e Decoder:
• etc / decoder.xml aggiornato
• decoder ar_log fisso (DCID)
• decoder Aggiornato (jp.zurbrugg)
• Aggiunto Pure FTPd-decoder log di trasferimento (ddpbsd)
• decoder registro Aggiunto mptscsih controller SCSI mptbase
• etc / norme / aggiornamento:
• nginx_rules.xml - Aggiunta per ridurre il rumore
• puro-ftpd_rules.xml - regole Aggiunto 11310, 11311, 11312
• syslog_rules.xml - Aggiunta regole 2935-2939 per controller SCSI
• web_appsec_rules.xml - Aggiornata regole phpMyAdmin
• Aggiunta regola 31515,31516, 31.530-31.533, 31550
• web_rules.xml - Aggiornata,
• Aggiunta regola 31164,31165 per tentativo iniezione SQL
• opzioni di output e di avviso:
• csyslogd:
• problema crash in modalità non-debug a causa di corruzione della memoria OSSEC-DBD
• Database Risolto voci di registro problema troncamento
• Risposta Attivo:
• sceneggiatura firewall-drop.sh Corretto per evitare un loop di risorse (DCID)
• sceneggiatura ip-customblock.sh Aggiunto (DCID)
• questione della proprietà ar.conf fisso (ddpbsd)
• Scripts correzioni:
• Aggiungi un messaggio di registro quando qualcosa & quot; non è stato avviato correttamente & quot; (Ddpbsd)
• Contributi:
• Aggiunto contrib / ossec2snorby / scripts, vedi README per informazioni

Cosa c'è di nuovo in versione 2.7:

• Installazione:
• Aggiungi modalità ibrida - permette lo stesso host di essere sia un server e un agente, utile per il multi-tier deployment OSSEC
.
• Aggiungi opzione manage_agents -f per la generazione di chiavi di massa client da un file di input.
• Durante l'installazione dell'agente, consentire al server OSSEC da specificare con hostname invece di IP.
• SysCheck:
• Aggiungi supporto prelinking -. Ridurre la confusione quando una modifica di file è il risultato di prelinking
• Rootcheck:
• Aggiungi controllo di configurazione a grana fine - consente di attivare / disattivare le singole attività rootcheck per una maggiore efficienza e flessibilità. L'impostazione predefinita è tutto ON.
• Accedi monitoraggio / analisi:
• Aggiungi supporto ricerca GeoIP -. Permette i nomi delle città geografiche di essere associati con gli indirizzi IP di avvisi OSSEC, per la correlazione più intelligenti
• opzioni di avviso e syslog uscita:
• Aggiungi SysCheck MD5 / SHA1 somma alle segnalazioni per facilitare l'integrazione con il controllo della firma di file di terze parti.
• Supporto JSON e Splunk formati in uscita syslog.
• Regole e altri notevoli cambiamenti / correzioni:

Supporto
• di Windows 2000 registri è stato deprecato (ma probabilmente ancora funzionare bene). Vista e Windows Server 2008 i registri sono ora ufficialmente supportati.
• livello di allerta di Windows registro SysCheck è stato ridotto da 7 a 5 per ridurre il rumore inutile da avvisi che non indicano un compromesso.
• Aggiornamento decoder includono: PIX, auditd, apache, pam, php
.
• Molte regole aggiornate, come i nuovi controlli per vulnerabili tentativi applicazioni web di sfruttamento.
• regole Aggiornamento rootcheck.
• ossec-client.sh consente ora 'reload', oltre a 'restart'
• Molti bug fixes ...
• text LICENZA aggiornato con l'aggiunta di clausola di eccezione per OpenSSL, mentre OSSEC è ancora sotto GPLv2

Cosa c'è di nuovo nella versione 2.2:

• Questa è una versione di stabilità, con forte attenzione sul bugfix, pulizia del codice, e alcune nuove funzionalità.
• Trend OSCE (scan Office) il supporto è stato aggiunto con le regole per monitorare adeguatamente e analizzare i log Trend.
• Wordpress è una piattaforma di blogging popolare con molto poco la registrazione di default.
• Questa versione ha un plugin per estendere le sue funzionalità di registrazione, e norme in materia di OSSEC per monitorare esso.
• Vi è il supporto per vpopmail, Roundcube, Netscreen IDS, e un paio di altri formati di log.

Cosa c'è di nuovo nella versione 2.0:

• Questa versione è dotato di numerose nuove funzionalità, tra cui il supporto per compilato (C-base) regole, nuovi strumenti di reporting e monitoraggio agentless per consentire la verifica dell'integrità dei file su dispositivi di rete (tra cui firewall, router, ecc).
• Inoltre è dotato di supporto per nuovi formati di log, inclusi i registri Checkpoint, Yum, e pochi altri.

Cosa c'è di nuovo in versione 1.6:

• Questa versione fornisce l'aggiornamento più completo per OSSEC nella sua storia , con numerose nuove funzionalità, tra cui il supporto per Microsoft Vista (e Server 2008), VMware ESX, risposta attiva su Windows, benchmark CIS su Linux (attraverso la verifica delle policy), VMWare alla protezione avanzata di linee guida, McAfee Virus Scan Enterprise, tronchi da VMware ESX hostd , i log del server Mac OS FTP, e molto altro ancora.