OSSEC HIDS

OSSEC เป็นฟรีและเปิดแหล่งโฮสต์ที่ใช้ระบบตรวจจับการบุกรุกที่ช่วยให้คุณเพื่อดำเนินการวิเคราะห์บันทึกไฟล์การตรวจสอบความสมบูรณ์ของการตรวจสอบนโยบายการตรวจหารูทคิทเรียลไทม์การแจ้งเตือนและการตอบสนองต่อการใช้งาน
OSSEC เป็นข้ามแพลตฟอร์มและการทำงานบน Mac OS X, Windows และ Linux

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.

• การติดตั้ง:
• เซิร์ฟเวอร์:
• คงที่การปรับปรุงการติดตั้งโซลาริส (ddpbsd)
• Agent:
• คงสคริปต์ InstallAgent.sh สำหรับ Mac OSX AddUsers
• เด่น OSX 10.5 จากรุ่นก่อนหน้า
• อนุญาตให้ os_auth เพื่อแก้ไขชื่อโฮสต์ผู้จัดการที่อยู่ IP
• คงที่ของ Windows บริษัท ตัวแทน
• Syscheck:
• ขยายขนาดไฟล์จากจำนวนเต็มกับจำนวนเต็มยาว
• ตัวแทน:
• ให้ช่วงการเต้นของหัวใจ configuable (Christobel Rosa)
• ได้รับการแก้ไขในช่วงเวลา 10 นาทีในขณะนี้กำหนดค่า
• ใช้ ossec.conf & quot; notify_time & quot ;, & quot; เวลาเชื่อมต่อ & quot;
• สำหรับทั้งระว​​ัง * และตัวแทนของ Windows
• รายละเอียดเพิ่มเติม TBD (มีเอกสารประกอบ)
• เข้าสู่ระบบการตรวจสอบ / การวิเคราะห์:
• เพิ่มคุณลักษณะใหม่ & quot; custom_alert_output & quot; (Christobel Rosa)
• รายละเอียดเพิ่มเติม TBD (มีเอกสารประกอบ)
• เพิ่มการตรวจสอบ ID ของกฎที่ซ้ำกัน (cgzones)
• หลักเกณฑ์และถอดรหัส:
• etc / decoder.xml ปรับปรุง
• คงถอดรหัส ar_log (DCID)
• ถอดรหัสปรับปรุง (jp.zurbrugg)
• การโอนเพียว FTPd ถอดรหัสล็อก (ddpbsd)
• เพิ่ม mptscsih mptbase ถอดรหัสล็อกคอนโทรลเลอร์ SCSI
• etc / กฎ / ปรับปรุง:
• nginx_rules.xml - เพิ่มเพื่อลดเสียงรบกวน
• บริสุทธิ์ ftpd_rules.xml - กฎเพิ่ม 11310, 11311, 11312
• syslog_rules.xml - กฎเพิ่ม 2935-2939 สำหรับคอนโทรลเลอร์ SCSI
• web_appsec_rules.xml - ปรับกฎ PHPMyAdmin
• เพิ่มกฎ 31515,31516, 31530-31533, 31550
• web_rules.xml - อั​​ปเดต
• เพิ่มกฎ 31164,31165 สำหรับความพยายามในการฉีด SQL
• เอาท์พุทและตัวเลือกการแจ้งเตือน:
• csyslogd:
• ปัญหาความผิดพลาดคงที่ในโหมดที่ไม่ใช่การแก้ปัญหาเนื่องจากการทุจริตในหน่วยความจำ OSSEC-DBD
• ฐานข้อมูลคงที่ล็อกปัญหาการตัดรายการ
• การตอบสนองที่ใช้งาน:
• คงสคริปต์ firewall-drop.sh เพื่อป้องกันไม่ให้ห่วงทรัพยากร (DCID)
• เพิ่มสคริปต์ ip-customblock.sh (DCID)
• ปัญหาเป็นเจ้าของ ar.conf ถาวร (ddpbsd)
• แก้ไขสคริป:
• เพิ่มข้อความที่บันทึกเมื่อสิ่งที่ & quot; ไม่ได้เริ่มต้นอย่างถูกต้อง & quot; (ddpbsd)
• การมีส่วนร่วม: <​​/ li>
• เพิ่ม contrib / ossec2snorby / สคริปให้ดู README สำหรับรายละเอียด

มีอะไรใหม่ ในรุ่น 2.7:

• การติดตั้ง:
• เพิ่มโหมดไฮบริด - ช่วยให้โฮสต์เดียวกันเป็นทั้งเซิร์ฟเวอร์และตัวแทนที่มีประโยชน์สำหรับการใช้งาน OSSEC หลายชั้น
.
• เพิ่มตัวเลือก manage_agents -f สำหรับการสร้างกลุ่มของคีย์ลูกค้าจากแฟ้มใส่.
• ระหว่างการติดตั้งตัวแทนให้เซิร์ฟเวอร์ OSSEC ต้องระบุชื่อโฮสต์ที่ใช้แทนไอพี.
• Syscheck:
• เพิ่มการสนับสนุน prelinking -. ลดความสับสนเมื่อมีการเปลี่ยนแปลงไฟล์เป็นผลมาจาก prelinking
• Rootcheck:
• เพิ่มการควบคุมการตั้งค่าละเอียด - ช่วยให้คุณสามารถเปิด / ปิดงาน rootcheck บุคคลให้มีประสิทธิภาพมากขึ้นและมีความยืดหยุ่น เริ่มต้นคือทั้งหมดบน.
• เข้าสู่ระบบการตรวจสอบ / การวิเคราะห์:
• เพิ่ม GeoIP สนับสนุนการค้นหา. - ช่วยให้ชื่อเมืองทางภูมิศาสตร์จะเกี่ยวข้องกับที่อยู่ IP ในการแจ้งเตือน OSSEC สำหรับความสัมพันธ์ที่ชาญฉลาดมากขึ้น
• ตัวเลือกการแจ้งเตือนและการส่งออก syslog:
• เพิ่ม syscheck MD5 / SHA1 ผลรวมการแจ้งเตือนสำหรับการรวมง่ายขึ้นด้วยแฟ้มลายเซ็นของบุคคลที่สามการตรวจสอบ.
• การสนับสนุน JSON และรูปแบบในการส่งออก Splunk syslog.
• กฎระเบียบและการเปลี่ยนแปลงที่โดดเด่นอื่น ๆ / แก้ไข:
• บันทึกการสนับสนุน Windows 2000 ได้รับการคัดค้าน (แต่อาจจะยังคงทำงานได้ดี) Vista และ Windows Server 2008 บันทึกอยู่ในขณะนี้ได้รับการสนับสนุนอย่างเป็นทางการ.
• ระดับการแจ้งเตือน Windows รีจิสทรี syscheck ได้รับลดลง 7-5 เพื่อลดเสียงรบกวนที่ไม่จำเป็นจากการแจ้งเตือนที่ไม่ได้บ่งบอกถึงการประนีประนอม.
• ถอดรหัสปรับปรุงรวมถึง: PIX, auditd, Apache, pam, PHP
.
• กฎการปรับปรุงจำนวนมากเช่นการตรวจสอบปพลิเคชันใหม่สำหรับเว็บที่มีช่องโหว่ความพยายามแสวงหาผลประโยชน์.
• กฎปรับปรุง rootcheck.
• ossec-client.sh ขณะนี้ช่วยให้สำหรับ 'โหลด' นอกเหนือจากการ 'เริ่มต้นใหม่'
• แก้ไขข้อผิดพลาดหลาย ...
• ข้อความที่ใบอนุญาตการปรับปรุงโดยการเพิ่มข้อยกเว้นสำหรับ OpenSSL ขณะ OSSEC ยังอยู่ภายใต้ GPLv2

มีอะไรใหม่ ในรุ่น 2.2:

• นี้เป็นรุ่นความมั่นคงโดยมุ่งเน้นหนักใน bugfixes, รหัสล้างและไม่กี่คุณสมบัติใหม่.
• โอเอสเทรนด์ (สำนักงานสแกน) ได้รับการสนับสนุนเพิ่มเข้ามาด้วยกฎระเบียบที่จะต้องตรวจสอบและวิเคราะห์บันทึกเทรนด์.
• Wordpress เป็นแพลตฟอร์มบล็อกยอดนิยมที่มีการเข้าสู่ระบบน้อยมากโดยค่าเริ่มต้น.
• ข่าวประชาสัมพันธ์ฉบับนี้มีปลั๊กอินที่จะขยายขีดความสามารถในการเข้าสู่ระบบของตนและกฎระเบียบเกี่ยวกับการตรวจสอบ OSSEC มัน.
• มีการสนับสนุนสำหรับ vpopmail, RoundCube, Netscreen IDS, และอื่น ๆ ไม่กี่รูปแบบการเข้าสู่ระบบ.

มีอะไรใหม่ ในรุ่น 2.0:

• รุ่นนี้มาพร้อมกับคุณสมบัติใหม่ ๆ มากมายรวมทั้งการสนับสนุนสำหรับการรวบรวม (C-based) กฎเครื่องมือการรายงานใหม่และการตรวจสอบ agentless เพื่อให้การตรวจสอบความสมบูรณ์ของไฟล์บนอุปกรณ์เครือข่าย (รวมทั้งไฟร์วอลล์เราเตอร์ ฯลฯ ).
• นอกจากนี้ยังมาพร้อมกับการสนับสนุนรูปแบบการเข้าสู่ระบบใหม่รวมทั้งบันทึกด่าน, ยำและ. อีกไม่กี่

มีอะไรใหม่ ในรุ่น 1.6:

• รุ่นนี้ให้การปรับปรุงที่ครอบคลุมมากที่สุดที่จะ OSSEC ในประวัติศาสตร์ ด้วยคุณสมบัติใหม่ ๆ มากมายรวมทั้งการสนับสนุนสำหรับ Microsoft Vista (และ Server 2008), VMware ESX ตอบสนองการใช้งานบน Windows, มาตรฐาน CIS บน Linux (ผ่านการตรวจสอบนโยบาย), VMWare แข็งแนวทางการรักษาความปลอดภัย McAfee บันทึกสแกนไวรัสองค์กร VMware ESX hostd บันทึก , Mac OS บันทึกเซิร์ฟเวอร์ FTP และอื่น ๆ อีกมากมาย.