OSSEC
关注
分享
扫一扫
vigel1990
这个作者很懒,什么都没留下…
展开
-
OSSEC文档
翻译:http://ossec-docs.readthedocs.io/en/latest/index.html 基于OSSEC2.8.1版本 OSSEC是一个开源的基于主机的入侵检测系统。它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时报警和主动响应。可以运行在大多数操作系统上,其中包括Linux、OpenBSD、FreeBSD、Mac OS X、...翻译 2018-02-27 15:06:06 · 588 阅读 · 0 评论 -
OSSEC文档——集中代理配置
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-configuration.html集中代理配置 如果您希望能够远程配置代理,那么您将很高兴地知道,从2.1版开始,您将能够做到这一点。我们允许集中配置文件完整性检查(syscheckd)、rootkit检测(rootcheck)和日志分析。 工作原理如下 创建代理...翻译 2018-02-28 09:28:46 · 810 阅读 · 0 评论 -
OSSEC文档——无代理监控
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agentless-monitoring.html无代理监控 无代理监视允许您在没有安装代理的情况下在系统上运行完整性检查(包括路由器、防火墙、交换机,甚至linux/bsd系统)。它可以像有代理执行文件完整性检查(校验和变更的警告)或者做比对来显示所发生的变化。 无代理配置项 ...翻译 2018-02-28 10:06:30 · 846 阅读 · 1 评论 -
OSSEC文档——日志监控/分析
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html日志监控/分析 日志分析(或日志检查)由日志收集和分析过程在OSSEC中完成。第一个收集事件,第二个进行分析(解码、筛选和分类)。 它是实时完成的,因此一旦事件被编写,OSSEC就会处理它们。OSSEC可以从内部日志文件中读取事件,从Windows事件...翻译 2018-02-28 10:46:07 · 3422 阅读 · 0 评论 -
OSSEC文档——过程监控
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/process-monitoring.html过程监控 概述 在OSSEC中,我们将一切都看作是一个日志,并按照我们的规则对它进行适当的解析。但是,有些信息在日志文件中是不可用的,但是我们仍然需要监视它。为了解决这一差距,我们增加了通过OSSEC监视命令输出的能力,并...翻译 2018-02-28 11:02:24 · 1126 阅读 · 0 评论 -
OSSEC文档——文件监控
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/file-log-monitoring.html文件监控 概述 OSSEC有一个名为 ossec-logcollector的进程,它可以监视日志文件的新事件。当新的日志消息到达时,它将它们转发到其他进程进行分析或传输到一个OSSEC服务器。 配置项 ossec-...翻译 2018-02-28 11:17:48 · 1396 阅读 · 0 评论 -
OSSEC文档——完整性检查
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/syscheck/index.html完整性检查 Syscheck是OSSEC内部完整性检查过程的名称。它定期运行以检查是否有任何配置的文件(或Windows上的注册表条目)发生了变化。 为什么完整性检查? 有多种类型的攻击和许多攻击向量,但是它们都有一种独特之处:它们留下痕迹,并且总是...翻译 2018-02-28 13:41:04 · 2569 阅读 · 0 评论 -
OSSEC文档——规则和解码器
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则和解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器和规则 添加要监视的文件 创建一个定制的解码器 规则和解码器的目录路径加载 用例 细节 规则...翻译 2018-02-28 13:59:04 · 741 阅读 · 0 评论 -
OSSEC文档——测试OSSEC规则/解码器
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/testing.html测试OSSEC规则/解码器 大多数人在解决OSSEC或尝试编写新规则和解码时的第一个问题是如何测试它们。在过去,这需要手动重新启动OSSEC,或者创建一个测试安装。在版本1.6中,有一个工具可以简化这个任务(ossec-logtest)。...翻译 2018-02-28 14:03:43 · 870 阅读 · 0 评论 -
OSSEC文档——CDB从内部规则中查找查询
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.htmlCDB从内部规则中查找查询 运行CDBzai OSSEC内部规则中查询任意字段 用例: 使用递归日志来检查www.malwaredomains.com的可疑域列表 服务器批准用户列表 IP地址查找——在ossec规则中有大量可疑...翻译 2018-02-28 14:13:46 · 544 阅读 · 0 评论 -
OSSEC文档——创建自定义解码器和规则
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。 添加要监视的文件...翻译 2018-02-28 14:46:20 · 1602 阅读 · 0 评论 -
OSSEC文档——规则和解码器的目录路径加载
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html规则和解码器的目录路径加载 允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。 用例: 可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为...翻译 2018-02-28 15:11:42 · 704 阅读 · 0 评论 -
OSSEC文档——规则分类(级别)
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...翻译 2018-02-28 15:31:52 · 1844 阅读 · 1 评论 -
OSSEC文档——输出及告警配置
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html输出及告警配置 OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。 通过syslog发送警报 Sysl...翻译 2018-02-28 16:26:29 · 2394 阅读 · 0 评论 -
OSSEC文档——输出告警到MySQL
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/mysql-database-output.html输出告警到MySQL 数据库设置 创建一个数据库,设置数据库用户,并执行下面的命令。# mysql -u root -pmysql> create database ossec;mysql> grant I...翻译 2018-02-28 16:32:15 · 496 阅读 · 0 评论 -
OSSEC文档——输出告警到PostgreSQL
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/pgsql-database-outout.html输出告警到PostgreSQL 数据库设置 在pgsql中创建ossec用户$ sudo -u postgres createuser -D -A -P ossec_userEnter password for new ro...翻译 2018-02-28 16:37:56 · 554 阅读 · 0 评论 -
OSSEC文档——添加一个带有ossec-authd的代理
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-auth.html添加一个带有ossec-authd的代理 通过自动化的方法向系统添加一个密钥是可行的。ossec-authd和agauth-auth提供了这种功能。 ossec-authd ossec-authd将运行在服务器上,添加代理并分发身份验证密钥。 目...翻译 2018-02-28 09:18:27 · 900 阅读 · 0 评论 -
OSSEC文档——基于NAT或者DHCP的配置Agent
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-dhcp-nat.html基于NAT或者DHCP的配置Agent 如果您想在没有静态IP地址或NAT设备的系统上安装代理,您需要使用CIDR地址或任何一个IP地址来配置代理。 DHCP的例子 要添加一个代理,它可以在192.168.2.0/24网络中接收任何IP地址...翻译 2018-02-27 17:41:47 · 459 阅读 · 0 评论 -
OSSEC支持的设备列表
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/supported-systems.html#supported-systemsOSSEC支持以下操作系统和日志格式。 操作系统 以下操作系统支持OSSEC代理 GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, ...翻译 2018-02-27 15:09:32 · 450 阅读 · 0 评论 -
OSSEC文档——手册
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/index.html手册 开始使用OSSEC 优点 特性 OSSEC架构 管理节点(或服务器) 代理 无代理 虚拟化/ VMware 防火墙、交换机和路由器 内部架构 支持系统/设备 操作系统 设备支持通过Syslog 无代理设备和操作系统 安装 安装要求 管理/代理...翻译 2018-02-27 15:17:58 · 1768 阅读 · 0 评论 -
OSSEC文档——开始使用OSSEC
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/non-technical-overview.html开始使用OSSEC OSSEC是一个监视和控制系统的平台。它将HIDS(基于主机的入侵检测)、日志监视和安全事件管理(SIM) /安全信息和事件管理(SIEM)的所有方面整合在一个简单、强大且开源的解决方案中。 优点: 法规遵循需求 O...翻译 2018-02-27 15:34:12 · 1841 阅读 · 0 评论 -
OSSEC文档——OSSEC架构
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/ossec-architecture.htmlOSSEC架构 OSSEC是由多个部分组成的。它有一个中央管理器,用于监视和接收来自代理、syslog、数据库和无代理设备的信息。 管理节点(或服务器) 管理节点是OSSEC部署的中心部分。它存储文件完整性检查数据库、日志、事件和系统审计条目。所...翻译 2018-02-27 15:50:00 · 2266 阅读 · 0 评论 -
OSSEC文档——OSSEC安装
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/index.htmlOSSEC安装 安装要求 Ubuntu RedHat Debian 管理/代理安装 Windows代理安装(OSSEC只支持Windows系统作为代理,并且需要OSSEC服务器来运行。) 二进制安装 在第二个服务器上编译OSSEC 二进制...翻译 2018-02-27 15:56:41 · 762 阅读 · 0 评论 -
OSSEC文档——OSSEC安装要求
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/installation-requirements.htmlOSSEC安装要求 对于UNIX系统,OSSEC只需要gnu make、gcc和libc。OpenSSL是一个建议但可选的前提条件。但是,您总是可以选择在一个系统上预编译它,并将二进制文件移动到最终的框中。 ...翻译 2018-02-27 16:04:16 · 722 阅读 · 0 评论 -
OSSEC文档——OSSEC管理/代理安装
OSSEC管理/代理安装 安装OSSEC HIDS非常简单,安装。sh shell脚本自动化了大部分内容。在安装完成之前,有几个问题需要回答,最重要的是需要哪种类型的安装。选择正确的安装类型是很重要的:服务器、代理、本地或混合。关于thse的更多信息可以在OSSEC架构页面上找到。 1.下载最新版本并验证其校验和 备注:在部分系统MD5,shal,wget 命令或许不可用,你可以用md5sum,...翻译 2018-02-27 16:14:14 · 910 阅读 · 0 评论 -
OSSEC文档——OSSEC二进制安装
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/installation-binary.htmlOSSEC二进制安装 OSSEC通常是在安装的每个系统上进行编译,但这并不总是容易的。为了帮助这些情况,有一些二进制安装的方法可用。可以在一个系统上编译OSSEC,并将其复制到目标系统。RPM和Debian软件包的计划中...翻译 2018-02-27 16:30:29 · 393 阅读 · 0 评论 -
OSSEC文档——OSSEC服务器虚拟设备安装
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/install-virtual-server.html 概述: OSSEC虚拟设备是一个在开放虚拟化格式(OVF)中的虚拟系统。它包含一个OSSEC 2.7服务器安装和WebUI(0.8 Beta)。 账户和密码: 系统上的所有帐户的默认密码是_0ssec_。...翻译 2018-02-27 16:35:59 · 502 阅读 · 0 评论 -
OSSEC文档——OSSEC自动安装
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/install-source-unattended.html OSSEC有能力编译和安装,而不需要安装。sh的交互。安装脚本可以从etc/preloaded-vars中收集问题的答案。conf配置文件。 安装程序要求的大多数问题都出现在配置文件中,以及默认的答案。取消...翻译 2018-02-27 16:40:24 · 756 阅读 · 0 评论 -
OSSEC文档——在Windows上编译OSSEC Windows代理
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/compile-ossec-on-windows.html在Windows上编译OSSEC Windows代理 在2.9的情况下,这种情况不再得到支持。Windows代理可以在Linux系统上构建。更新Windows编译支持的补丁非常受欢迎。 最初是通过mstarks...翻译 2018-02-27 16:52:05 · 1011 阅读 · 0 评论 -
OSSEC文档——编译OSSEC MinGW
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/compile-ossec-mingw.html编译OSSEC MinGWOSSEC的Windows代理是使用MinGW编译的为Windows生成快照总是很痛苦的,因为它需要我打开我的Windows VM(慢),把代码推到那里,编译等等。好吧,直到本周我开始使用Min...翻译 2018-02-27 17:00:41 · 519 阅读 · 0 评论 -
OSSEC文档——OSSEC更新
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/installation/updates.htmlOSSEC更新 更新OSSEC是非常容易的。只需下载最新的软件包,按照安装说明进行操作。它会检测到你已经安装好了,然后询问:- You already have OSSEC installed. Do you want to update it...翻译 2018-02-27 17:06:53 · 467 阅读 · 0 评论 -
OSSEC文档——Agents
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/index.htmlAgents 在OSSEC中有两种类型的代理:可安装代理和无代理代理。安装代理安装在主机上,然后通过OSSEC加密消息协议向中央OSSEC服务器报告。无代理代理不需要在远程主机上安装。它们是由OSSEC管理器发起的,它从远程系统收集信息,并使用任何RPC方法(...翻译 2018-02-27 17:13:22 · 438 阅读 · 0 评论 -
OSSEC文档——Agent管理
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/agent/agent-management.htmlAgent管理 要将代理添加到带有manage_agents的OSSEC管理器中,您需要遵循下面的步骤。 在OSSEC服务器上运行manageagents。 添加一个代理。 提取代理的密钥。 将该密钥复制到代理。 在代理上运行管...翻译 2018-02-27 17:34:42 · 1752 阅读 · 0 评论 -
OSSEC文档——正则语法
翻译:http://ossec-docs.readthedocs.io/en/latest/syntax/regex.html正则语法 目前,OSSEC支持正则表达式语法: OS_Regex或正则表达式 OS_Match或sregex OS_Regex或正则表达式 在c语言中,快速而简单的正则表达式库。 这个库的设计很简单,但是支持最常用的正则表达式。它在设计时考虑了入侵检测系统, ...翻译 2018-02-28 17:05:06 · 601 阅读 · 3 评论