OSSEC
OSSEC – представитель систем обнаружения вторжений на уровне хоста, позволяющий анализировать журналы, проверять целостность файлов и реестра, обнаруживать rootkit и активно реагировать на попытки взлома системы. В функциональность заложена возможность анализировать локальные журналы как уровня ОС, так и отдельных приложений, например: SSH, MS Exchange, Apache, Proofpoint Sendmail, ARP Watch, FTPD, Microsoft IIS, Squid.
OSSEC обрабатывает информацию о событиях, которая приходит от других систем, от узлов с установленными агентами OSSEC, от межсетевых экранов. На основании правил в формате XML выдаются оповещения о подозрительных действиях.
OSSEC может отслеживать разрешения, размер и владельца файла. Сохраняет значения хэш-функций MD5 и SHA1 для файлов, за которыми было указано наблюдать. База данных всех этих значений хранится на сервере.
Плюсы OSSEC – простота установки и работы, широкие возможности и поддержка журналов от различных систем.
Минусы – трудность расширения базы знаний об атаках.
См. также
- Системы обнаружения и предотвращения вторжений
- Snort
- OSSIM (Open Source Security Information Management)