showking

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理
  5 Posts :: 0 Stories :: 0 Comments :: 0 Trackbacks

OSSEC是一款开源的系统监控平台。它集成了HIDS(主机入侵检测)、日志监控、安全事件管理(SIM)、安全信息和事件管理(SIEM)于一身,结构简单、功能强大的开源解决方案。

主要优点

满足合规性

OSSEC可以帮助你满足诸如PCI、HIPAA之类的监管要求。它通过对应用及系统日志的分析,发现一些恶意行为,诸如未经授权的文件系统更改等。例如对于PCI来说,要求对文件完整性进行监测(PCI11.5,10.5),日志的检测和分析(pci 10),配置项的强化及检查,OSSEC均可发挥一定的作用

平台兼容性

OSSEC提供对Linux、Solaris、Windows、Mac OS X等平台支持。同时,针对不同的应用、服务设置了详细的入侵检测策略,提供了广泛的兼容性。

实时可配置的告警

OSSEC可通过配置突出用户关注的告警,允许用户通过调整告警级别,从一般的告警噪声中区分出严重的安全事件。通过集成具备e-mail接口的 SMTP、sms、syslog设备,可使用户轻松接收到告警信息。除此之外,还可通过开启主动反应功能,来快速阻止攻击行为。

与现有设施的集成

OSSEC可以用户现有的SIM/SEM(Security Incident Mananement/Security Events Management)系统很好的集成到一起,从而为用户提供事件关联分析和集成的安全分析报告。

集中化管控

OSSEC提供方便的、集中化的跨平台的策略管控功能,同时,用户有可针对个别服务器提供定制化的防护策略。

代理和无代理监控

OSSEC既可以提供基于代理的操作系统监控,也可针对路由器、防火墙等设备提供无代理型监控。无代理监控可以帮助用户在软件安装被严格管控的情景下,仍能满足安全和符合性需求。

主要特征

文件完整性检验

针对您的网络和系统的攻击有一个共性特点:它们一定会变更您的系统。文件完整性检测的目标(或者称之为FIM- file integrity monitoring文件完整性监测)是检测到这些变更行为,并及时告警。这样,当发生诸如攻击、员工的权限滥用、管理员的误操作,任何文件、目录、注册表的变更都会及时的以告警的形式通知到您。

满足PCI DSS 11.5、10.5.5

日志监控

当你的操作系统想向你倾诉的时候,你是否知道怎么去倾听吗?网络中的操作系统、应用、设备均以日志的形式记录下正在发生的事情。OSSEC收集、分析并关联这些日志,然后提醒您网络中正在发生什么可疑的事情,攻击、操作失误、错误或其他的事件。你是否想知道终端又安装了什么应用?或是有人调整了防火墙策略?通过监控日志,你想知道的事情,OSSEC全部会告诉你。

满足PCI DSS 10

Rootkit 检测

怀有恶意的黑客总是想隐藏他们的行为,但通过rootkit检测,可以发现系统发生了rootkit类的攻击行为。

主动防御

主动防御可以再某个alert发生时,立即采取防御措施。这样,在管理员介入之前可以有效的防止攻击行为在网络中蔓延。

posted on 2019-03-14 08:49  showking  阅读(...)  评论(... 编辑 收藏