OSSEC HIDS

OSSEC est un libre et open-source Intrusion Detection System basé sur l'hôte qui vous permet d'effectuer des analyses de logs, déposez vérification de l'intégrité, de la surveillance de la politique, la détection de rootkit, alertes en temps réel et la réponse active.
OSSEC est multi-plateforme et il fonctionne sur Mac OS X, Windows et Linux

Quoi de neuf dans cette version:.

• Installation:
• Serveur:
• mise à jour Solaris fixe installer (ddpbsd)
• Agent:
• Script InstallAgent.sh fixe pour addusers Mac OSX
• distinctif OSX 10.5 des versions précédentes
• Laissez os_auth pour résoudre gestionnaire nom d'hôte à l'adresse IP
• agent Windows fixe
• SysCheck:
• Extended taille du fichier à partir d'un nombre entier d'une longue entier
• Agents:
• Assurez Heartbeat configuable intervalle (Christobel Rosa)
• a été fixé à un intervalle de 10 minutes, maintenant configurable
• Utiliser ossec.conf & quot; & quot ;, notify_time & quot; le temps de reconnexion & quot;
• Pour les deux * nix et Windows agents
• Plus de détails TBD (à documenter)
• Connectez-surveillance / analyse:
• Ajout d'une nouvelle option & quot; custom_alert_output & quot; (Christobel Rosa)
• Plus de détails TBD (à documenter)
• Ajouté vérifiant (les cgzones) de double règle ID
• Règles et Décodeurs:
• etc / decoder.xml mise à jour
• décodeur ar_log fixe (DCID)
• Mise à jour des décodeurs (jp.zurbrugg)
• Pure-ftpd journal de transfert décodeur Ajouté (ddpbsd)
• décodeurs journaux contrôleur SCSI de mptbase Ajouté mptscsih de
• etc / règles / mise à jour:
• nginx_rules.xml - Ajout pour réduire le bruit
• pure ftpd_rules.xml - règles Ajouté 11310, 11311, 11312
• syslog_rules.xml - Ajout de règles pour 2935-2939 contrôleur SCSI
• web_appsec_rules.xml - Mise à jour des règles PHPMyAdmin
• Ajout règle 31515,31516, 31530 à 31533, 31550
• web_rules.xml - Mise à jour,
• Ajout règle 31164,31165 pour tentative d'injection SQL
• sortie et les options d'alerte:
• csyslogd:
• problème de crash en mode non-debug due à une corruption de mémoire ossec-DBD
• base de données fixe entrées de journal problème de troncature
• Active Response:
• Script firewall-drop.sh fixe pour éviter une boucle de ressources (DCID)
• Script ip-customblock.sh Ajouté (DCID)
• question de la propriété de ar.conf fixe (ddpbsd)
• Scripts correctifs:
• Ajouter un message journal quand quelque chose & quot; ne démarrent correctement & quot; (Ddpbsd)
• Contributions:
• contrib / ossec2snorby / scripts Added, voyez le README pour plus de détails

Ce qui est nouveau dans la version 2.7:

• Installation:
• Ajouter mode hybride - permet le même hôte soit à la fois un serveur et un agent, utile pour plusieurs niveaux OSSEC déploiement
.
• Ajoutez l'option de manage_agents pour la production en vrac des clés de clients à partir d'un fichier d'entrée.
• Lors de l'installation d'agent, permet au serveur OSSEC à être spécifiée en utilisant le nom d'hôte à la place de la propriété intellectuelle.
• SysCheck:
• Ajout du support prelink -. Réduire la confusion quand un changement de fichier est le résultat de prelink
• Rootcheck:
• Ajouter contrôle de la configuration fine - vous permet d'activer des tâches de rootcheck / OFF individuels pour plus d'efficacité et de flexibilité. La valeur par défaut est sur.
• Connectez-surveillance / analyse:
• Ajouter GeoIP soutien de recherche -. Permet noms géographiques de la ville à être associés à des adresses IP à des alertes OSSEC, pour la corrélation plus intelligent
• Options d'alerte et syslog sortie:
• Ajouter syscheck MD5 / SHA1 somme alertes pour l'intégration facile avec la signature de fichiers tiers vérifier.
• JSON de soutien et Splunk formats dans la sortie syslog.
• Règles et d'autres changements notables / corrections:

Soutien
• Windows 2000 journaux a été dépréciée (mais ne fonctionnera probablement toujours très bien). Vista et Windows Server 2008 journaux sont maintenant officiellement pris en charge.
• niveau d'alerte de registre de Windows syscheck a été réduit de sept à cinq pour réduire le bruit inutile du alertes qui ne indiquent pas un compromis.
• Mettre à jour les décodeurs comprennent: PIX, auditd, apache, pam, php
.
• Beaucoup de règles mises à jour, telles que de nouveaux contrôles pour vulnérables tentatives applications web d'exploitation.
• Mise à jour des règles de rootcheck.
• ossec-client.sh permet maintenant «reload», en plus de 'redémarrage'
• Beaucoup de corrections de bugs ...
• texte de la licence mise à jour par l'ajout de clause d'exception pour OpenSSL, alors que OSSEC est encore sous GPLv2

Quoi de neuf dans la version 2.2:

• Ce est une version de stabilité, avec un accent lourd sur des corrections de bogues, nettoyage de code, et quelques nouvelles fonctionnalités.
• Tendance OSCE (scan de bureau) l'appui a été ajoutée aux règles de surveiller correctement et analyser les journaux tendance.
• Wordpress est une plateforme de blogs populaires avec très peu de journalisation par défaut.
• Cette version dispose d'un plugin pour étendre ses capacités d'exploitation forestière, et les règles sur OSSEC à surveiller.
• Il existe un soutien pour vpopmail, roundcube, Netscreen IDS, et quelques autres formats de journaux.

Quoi de neuf dans la version 2.0:

• Cette version vient avec de nombreuses nouvelles fonctionnalités, y compris le soutien pour compilé (C) à base de règles, de nouveaux outils de reporting, et la surveillance sans agent pour permettre de vérifier l'intégrité des fichiers sur les périphériques réseau (y compris les pare-feux, routeurs, etc.).
• Il est également livré avec un support pour de nouveaux formats de journaux, y compris les journaux Checkpoint, Yum, et un peu plus.

Ce qui est nouveau dans la version 1.6:

• Cette version offre la mise à jour la plus complète à OSSEC de son histoire , avec de nombreuses nouvelles fonctionnalités, y compris le support de Microsoft Vista (et Server 2008), VMware ESX, intervention active sur Windows, benchmarks CIS sur Linux (grâce à la vérification de la politique), VMWare Security Hardening directives, McAfee Virus journaux analyse pour l'entreprise, les journaux de VMware ESX , journaux de serveur Mac OS FTP, et bien plus encore.