OSSEC HIDS

OSSEC ist eine freie und Open-Source-Host-basierte Intrusion Detection System, mit dem Sie die Log-Analyse durchzuführen, Datei-Integritätsprüfung, die Überwachung der Politiken, Rootkit-Erkennung, Echtzeit-Alarmierung und aktive Reaktion ermöglicht.
OSSEC ist plattformübergreifend und es funktioniert auf Mac OS X, Windows und Linux

Was ist neu in dieser Pressemitteilung:.

• Installation:
• Server:
• Feste Solaris-Update zu installieren (ddpbsd)
• Immobilienmakler:
• Feste InstallAgent.sh Skript für Mac OSX addusers
• Die Unterscheidung OSX 10.5 von früheren Versionen
• Lassen os_auth zu Manager-Hostnamen zu IP-Adresse aufzulösen
• Feste Windows Agent
• Syscheck:
• Erweiterte Dateigröße von einer ganzen Zahl auf eine lange Ganzzahl
• Büromitarbeiter:
• Heartbeat-Intervall configuable (Chris Rosa)
• Wurde nach 10 Minuten-Intervall festgelegt, nun konfigurierbar
• Verwenden ossec.conf & quot; notify_time & rdquo ;, & rdquo; zeit Reconnect & quot;
• Für beide * nix und Windows-Agenten
• Mehr Details TBD (dokumentiert)
• Melden Überwachung / Analyse:
• Neue Funktion hinzugefügt, & quot; custom_alert_output & quot; (Chris Rosa)
• Mehr Details TBD (dokumentiert)
• hinzugekommen Überprüfung auf doppelte Regel-IDs (cgzones)
• Regeln und Decoder:
• etc / decoder.xml aktualisiert
• Feste ar_log Decoder (DCID)
• Aktualisiert Decoder (jp.zurbrugg)
• Hinzugefügt pure-ftpd Übertragungsprotokoll Decoder (ddpbsd)
• Hinzugefügt mptscsih mptbase SCSI-Controller Protokolldecoder
• etc / Regeln / aktualisiert:
• nginx_rules.xml - Added um Lärm zu reduzieren
• rein ftpd_rules.xml - Hinzugefügt Regeln 11.310, 11.311, 11.312
• syslog_rules.xml - Hinzugefügt Regeln 2935-2939 für SCSI-Controller
• web_appsec_rules.xml - Aktualisiert PHPMyAdmin Regeln
• Hinzugefügt Regel 31515,31516, 31.530 bis 31.533, 31.550
• web_rules.xml - aktualisiert,
• Hinzugefügt Regel 31164,31165 für SQL-Injection-Versuch
• Output und Benachrichtigungsoptionen:
• csyslogd:
• Absturz Problem in nicht-Debug-Modus durch Speicherbeschädigung OSSEC-dbd
• Feste Datenbankprotokolleinträge Abschneiden Ausgabe
• Aktive Rückmeldung:
• Feste firewall-drop.sh Skript, um eine Ressource-Schleife (DCID) zu verhindern
• Hinzugefügt ip-customblock.sh Skript (DCID)
• Feste ar.conf Eigentumsfrage (ddpbsd)
• Scripts Fixes:
• Fügen Sie eine Log-Nachricht, wenn etwas & quot; nicht richtig & quot zu starten; (Ddpbsd)
• Beiträge:
• Hinzugefügt contrib / ossec2snorby / scripts finden README für Informationen

Was ist neu in Version 2.7:

• Installation:
• In Hybridmodus - ermöglicht es dem gleichen Host, um sowohl ein Server und ein Mittel, die für Multi-Tier-OSSEC Einsatz sein
.
• Fügen Sie die Option -f manage_agents für Groß Generation von Client-Schlüssel aus einer Eingabedatei.
• Beim Agent-Installation, damit der OSSEC Server mit Hostnamen anstelle von IP angegeben werden.
• Syscheck:
• Fügen prelinking Unterstützung -. Zu reduzieren Verwirrung, wenn eine Datei Änderung ist das Ergebnis prelinking
• Rootcheck:
• In feinkörnigen Konfigurationskontrolle - ermöglicht es Ihnen, für mehr Effizienz und Flexibilität Ein- / Ausschalten einzelner rootcheck Aufgaben. Der Standardwert ist alle EIN.
• Melden Überwachung / Analyse:
• Fügen GeoIP Lookup-Unterstützung -. Ermöglicht geografischen Ortsnamen mit IP-Adressen im OSSEC Warnungen in Verbindung gebracht werden, um weitere intelligente Korrelation
• Benachrichtigungsoptionen und Syslog-Ausgabe:
• Fügen syscheck MD5 / SHA1 Summe, um Warnungen für eine einfachere Integration mit Dateisignatur von Drittanbietern überprüft.
• Unterstützung JSON und Splunk-Formate in syslog ausgegeben.
• Regeln und andere bemerkenswerte Änderungen / Korrekturen:
• Windows 2000-Protokolle Unterstützung ist veraltet (aber wahrscheinlich immer noch gut funktionieren). Vista und Windows Server 2008-Protokolle werden jetzt offiziell unterstützt.
• Windows-Registrierung syscheck Warnstufe hat 7-5 reduziert unnötigen Lärm von Warnungen, die nicht angeben, einen Kompromiss zu reduzieren.
• Update-Decoder sind: PIX, auditd, apache, pam, php
.
• Viele aktualisierten Regeln, wie zum Beispiel neue Kontrollen für gefährdete Web-Apps Ausbeutung Versuche.
• Update rootcheck Regeln.
• ermöglicht ossec-client.sh jetzt 'Reload', zusätzlich zu den 'Neustart'
• Viele Bugfixes ...
• Lizenztext, indem Ausnahmeklausel für OpenSSL aktualisiert, während OSSEC noch unter GPLv2

Was ist neu in der Version 2.2:

• Das ist eine Stabilität Mitteilung, mit starken Fokus auf Fehlerkorrekturen, Code Bereinigung, und ein paar neue Features.
• Trend OSZE (Office Scan) Träger mit Regeln Trend Logs richtig überwachen und analysieren hinzugefügt.
• Wordpress ist eine beliebte Blogging-Plattform mit sehr wenig Protokollierung standardmäßig aktiviert.
• Diese Version hat ein Plugin, um seine Protokollfunktionen zu erweitern und Vorschriften für OSSEC zu überwachen.
• Es gibt Unterstützung für vpopmail, roundcube, Netscreen IDS, und ein paar weitere Protokollformate.

Was ist neu in der Version 2.0:

• Diese Version kommt mit zahlreichen neuen Features, einschließlich der Unterstützung für kompilierte (C-basiert) Regeln, neue Reporting-Tools und agentenlose Überwachung, um die Integrität der Datei ermöglichen die Überprüfung auf Netzwerkgeräten (einschließlich Firewalls, Router, etc.).
• Es kommt auch mit Unterstützung für neue Protokollformate, wie Checkpoint-Logs, Yum, und ein paar mehr.

Was ist neu in der Version 1.6:

• Diese Version bietet die umfassendste Update auf OSSEC in ihrer Geschichte , mit zahlreichen neuen Funktionen, darunter Unterstützung für Microsoft Vista (und Server 2008), VMware ESX, aktive Reaktion unter Windows, CIS Benchmarks unter Linux (durch die Richtlinienprüfung), VMWare-Sicherheitsrichtlinien, McAfee Virus Scan Enterprise-Protokolle, VMware ESX hostd logs , Mac OS FTP-Server-Logs und vieles mehr.