OSSEC HIDS

OSSEC є вільним і відкритим вихідним кодом хост-Система виявлення вторгнень, яка дозволяє виконувати аналіз журналів, перевірка цілісності, моніторинг політики, виявлення руткітів в реальному масштабі часу оповіщення та активний відгук файл.
OSSEC є крос-платформних і працює на Mac OS X, Windows і Linux

Що нового У цьому випуску :.

• Установка
• Сервер
• Виправлена ​​оновлення Solaris встановити (ddpbsd)
• Агент:
• Виправлена ​​InstallAgent.sh скрипт для Mac OSX AddUsers
• Відмітна OSX 10.5 від попередніх версій
• Дозволити os_auth вирішити менеджера хоста в IP-адресу
• Виправлена ​​агент для Windows
• Syscheck:
• Розширений розмір файлу від цілого числа в довге ціле
• Агенти:
• Зробити Heartbeat інтервал configuable (Christobel Rosa)
• була встановлена ​​з інтервалом 10 хвилин, тепер налаштовується
• Використання ossec.conf і Quot; notify_time і Quot;, & Quot; час відновлення з'єднання і Quot;
• Для обох * NIX і агентів Windows
• Детальніше TBD (буде відображено)
• Журнал моніторингу / аналізу:
• Додана нова функція & Quot; custom_alert_output і Quot; (Christobel Rosa)
• Детальніше TBD (буде відображено)
• Додана перевірка на наявність дублікатів правило ідентифікаторам (cgzones)
• Правила та декодери:
• і т.д. / decoder.xml оновлюються
• Виправлена ​​ar_log декодер (dcid)
• Оновлені декодери (jp.zurbrugg)
• Додана Pure-FTPd декодер журнал передачі (ddpbsd)
• декодери журналу Додав mptscsih mptbase контролер SCSI
• і т.д. / правила / оновлення:
• nginx_rules.xml - Додана щоб знизити рівень шуму
• чисто ftpd_rules.xml - Додані правила 11310, 11311, 11312
• syslog_rules.xml - Додана правила 2935-2939 для контролера SCSI
• web_appsec_rules.xml - Оновлене правила PHPMYADMIN
• Додана правило +31515,31516, 31530-31533, 31550
• web_rules.xml - Оновлене
• Додана правило +31164,31165 за спробу SQL-ін'єкції
• Вихідні і параметрів попереджень:
• csyslogd:
• Виправлена ​​помилка аварії в режимі без налагодження через корупцію пам'яті OSSEC-DBD
• Виправлена ​​бази даних записів в журналі запитання усічення
• Активний Відповідь:
• Виправлена ​​firewall-drop.sh сценарій, щоб запобігти петлі ресурсів (dcid)
• Додана ip-customblock.sh сценарій (dcid)
• Виправлена ​​ar.conf оформити право власності (ddpbsd)
• Сценарії виправлення:
• Додати повідомлення в журнал коли щось і Quot; не почати правильно і Quot; (Ddpbsd)
• Статті:
• Додана CONTRIB / ossec2snorby / скрипти, см README для подробиць

Що нового у версії 2.7:

• установки:
• Додати гібридний режим - дозволяє той же хост, щоб бути як сервер і агент, корисний для багаторівневої розгортання OSSEC
.
• Додана опція manage_agents -f для навального генерації ключів клієнта з вхідного файлу.
• Під час установки агента, дозвольте сервер OSSEC повинні бути вказані з використанням імені хоста замість IP.
• Syscheck:
• Додати Попереднє зв'язування підтримка -. Зменшити плутанину при зміні файлу є результатом Попереднє зв'язування
• Rootcheck:
• Додати детальний контроль конфігурації - дозволяє включити / виключити окремі завдання rootcheck для більшої ефективності та гнучкості. За замовчуванням всі на.
• Журнал моніторингу / аналізу:
• Додати GeoIP підтримку пошуку. - Дозволяє географічні назви міст, які будуть пов'язані з IP-адресами в Сповіщення OSSEC, для більш розумного співвідношення
• Сигнал варіанти і Syslog вихід:
• Додати syscheck MD5 / SHA1 суму на попередження для легкої інтеграції з перевірки сторонніх файл підпису.
• Підтримка JSON і Splunk формати в системний журнал виходу.
• Правила та інші помітні зміни / виправлення:

Підтримка
• Windows 2000 журнали застарілим (але, ймовірно все ще працюють нормально). Vista, і Windows, журнали Server 2008 тепер офіційно підтримується.
• рівень тривоги реєстру Windows syscheck був скорочений з 7 до 5, щоб зменшити непотрібний шум від отримання сповіщень, які не вказують на компроміс.
• Оновлення декодерів включають в себе: PIX, auditd, Apache, Пем, PHP
.
• Багато оновлені правила, такі як нові перевірок для вразливих спроб експлуатації веб-додатків.
• Правила поновлення rootcheck.
• ossec-client.sh тепер дозволяє «перезавантаження», на додаток до "перезавантаження"
• Виправлено безліч помилок ...
• текст ліцензії оновлюються доповнюється пунктом виключення для OpenSSL, а OSSEC все ще перебуває під GPLv2

Що нового у версії 2.2:

• Це реліз стабільність, з важким акцентом на виправлення, код очистки, а також кілька нових функцій.
• Trend ОБСЄ (Бюро сканування) була додана підтримка з правилами правильно моніторингу та аналізу журналів тренда.
• Wordpress є популярним блог-платформи з дуже невеликим рубок за замовчуванням.
• Цей реліз має плагін, щоб розширити свої можливості протоколювання, а правила по OSSEC стежити за ним.
• Існує підтримка Vpopmail, RoundCube, Netscreen IDS, і ще кілька форматів журналу.

Що нового у версії 2.0:

• Ця версія поставляється з численними новими функціями, включаючи підтримку для складена (C основі) правила, нові інструменти звітності та моніторингу без агентів, щоб цілісність файлу перевірки мережевих пристроїв (у тому числі брандмауери, маршрутизатори і т.д.).
• Він також поставляється з підтримкою нових форматів журналів, в тому числі журналів Checkpoint, Yum і дещо більше.

Що нового у версії 1.6:

• Ця версія забезпечує найбільш повний оновлення OSSEC у своїй історії з численними новими функціями, включаючи підтримку Microsoft Vista (і Server 2008), VMware ESX, є активним відповіддю на вікнах, тести СНД на Linux (через політику аудиту), VMware посилення безпеки керівні принципи, McAfee Virus журналів сканування підприємства, журналів VMware ESX hostd , логи сервера Mac OS FTP і багато іншого.