OSSEC HIDS

OSSEC er en gratis og åpen kildekode Host Intrusion Detection System som lar deg utføre logganalyse, fil integritet sjekker, politikk overvåking, rootkit oppdagelse, real-time varsling og aktiv respons.
OSSEC er kryss-plattform, og det fungerer på Mac OS X, Windows og Linux

Hva er nytt i denne utgaven:.

• Installasjon:
• Server:
• Fast Solaris oppdatering installere (ddpbsd)
• Agent:
• Fast InstallAgent.sh script for Mac OSX addusers
• Skille OSX 10.5 fra tidligere versjoner
• Tillat os_auth å løse leder vertsnavn til IP-adresse
• Fast Windows Agent
• Syscheck:
• Utvidet filstørrelse fra et heltall til en lang heltall
• Agents:
• Gjør Heartbeat intervall configuable (Christobel Rosa)
• Ble fikset på 10 minutter intervall, nå konfigurerbar
• Bruk ossec.conf & quot; notify_time & quot ;, & quot; tids reconnect & quot;
• For både * nix og Windows-agenter
• Flere detaljer TBD (dokumenteres)
• Logg overvåking / analyse:
• Lagt ny funksjon & quot; custom_alert_output & quot; (Christobel Rosa)
• Flere detaljer TBD (dokumenteres)
• Lagd sjekke for duplikat regel IDer (cgzones)
• Regler og Dekodere:
• etc / decoder.xml oppdatert
• Fast ar_log dekoder (dcid)
• Oppdatert dekodere (jp.zurbrugg)
• Lagt Pure-ftpd overføringslogg dekoder (ddpbsd)
• Lagt mptscsih mptbase SCSI-kontroller logg dekodere
• etc / regler / oppdatert:
• nginx_rules.xml - Lagt å redusere støy
• pure-ftpd_rules.xml - Lagd regler 11310, 11311, 11312
• syslog_rules.xml - Lagt regler 2935-2939 for SCSI-kontroller
• web_appsec_rules.xml - Oppdatert phpMyAdmin regler
• Lagt regel 31515,31516, 31530-31533, 31550
• web_rules.xml - Oppdatert,
• Lagt regel 31164,31165 for SQL-injeksjon forsøk
• Output og varslingsalternativer:
• csyslogd:
• Fast krasj problem i ikke-debug-modus på grunn av minnekorrupsjon ossec-dbd
• Fast database loggoppføringer trunkering problemet
• Aktiv Response:
• Fast firewall-drop.sh skript for å forhindre en ressurs sløyfe (dcid)
• Lagt ip-customblock.sh script (dcid)
• Fast ar.conf eierskap problemet (ddpbsd)
• Scripts reparasjoner:
• Legg til en loggmelding når noe & quot; ikke starter riktig & quot; (Ddpbsd)
• Bidragsytere:
• Lagd contrib / ossec2snorby / scripts, se README for detaljer

Hva er nytt i versjon 2.7:

• Installasjon:
• Legg til hybridmodus - gjør det samme vert å være både en server og en agent, nyttig for multi-tier OSSEC distribusjon
.
• Legg manage_agents f alternativet for bulk generasjon av klient nøkler fra en input-fil.
• Under Agent installasjon, la OSSEC serveren som skal spesifiseres ved hjelp av vertsnavn i stedet for IP.
• Syscheck:
• Legg prelinking støtte -. Redusere forvirring når en fil endringen er et resultat av prelinking
• Rootcheck:
• Legg finkornet kontroll konfigurasjon - gjør at du kan slå på / av individuelle rootcheck oppgaver for mer effektivitet og fleksibilitet. Standard er alle på.
• Logg overvåking / analyse:
• Legg geoip lookup støtte -. Tillater geografiske bynavn å være forbundet med IP-adresser i OSSEC varsler, for mer intelligent korrelasjon
• Alert alternativer og syslog utgang:
• Legg syscheck MD5 / SHA1 sum på varsler for enklere integrasjon med tredjeparts-fil signatur sjekke.
• Support JSON og Splunk formater i syslog utgang.
• Regler og andre viktige endringer / reparasjoner:
• Windows 2000 logger støtte har blitt foreldet (men vil trolig fortsatt fungere fint). Vista og Windows Server 2008 loggene er nå offisielt støttet.
• Windows-registeret syscheck varslingsnivået er redusert 7-5 for å redusere unødvendig støy fra varsler som indikerer ikke et kompromiss.
• Oppdater dekodere inkluderer: PIX, auditd, apache, pam, php
.
• Mange oppdaterte regler, for eksempel nye kontroller for sårbare web apps utnyttelse forsøk.
• Oppdater rootcheck regler.
• ossec-client.sh tillater nå for 'reload', i tillegg til "restart"
• Mange feilrettinger ...
• LISENS tekst oppdatert ved å legge til unntaksbestemmelsen for OpenSSL, mens OSSEC er fortsatt under GPLv2

Hva er nytt i versjon 2.2:

• Dette er en stabilitet utgivelse, med stort fokus på feilrettinger, kode opprydding, og et par nye funksjoner.
• Trend OSSE (Kontor scan) støtten har blitt lagt med regler å riktig overvåke og analysere Trend logger.
• Wordpress er en populær blogging plattform med svært lite logging som standard.
• Denne utgivelsen har en plugin for å utvide sine loggingsfunksjoner, og regler om OSSEC å overvåke den.
• Det er støtte for vpopmail, Roundcube, Netscreen IDS, og noen flere loggformater.

Hva er nytt i versjon 2.0:

• Denne versjonen kommer med en rekke nye funksjoner, inkludert støtte for kompilert (C-basert) regler, nye rapporteringsverktøy, og agentløs overvåking for å tillate fil integritet sjekke på nettverksenheter (inkludert brannmurer, rutere, etc).
• Den kommer også med støtte for nye loggformater, inkludert Checkpoint logger, Yum, og noen flere.

Hva er nytt i versjon 1.6:

• Denne versjonen leverer den mest omfattende oppdatering til OSSEC i sin historie , med en rekke nye funksjoner, inkludert støtte for Microsoft Vista (og Server 2008), VMware ESX, aktiv respons på Windows, CIS ytelsestester på Linux (gjennom politikken revisjon), VMWare Security herding retningslinjer, McAfee Virusscan Enterprise logger, VMware ESX hostd logger , Mac OS FTP serverlogger, og mye mer.