2010/05/12 15:19:04

OSSEC

OSSEC – представитель систем обнаружения вторжений на уровне хоста, позволяющий анализировать журналы, проверять целостность файлов и реестра, обнаруживать rootkit и активно реагировать на попытки взлома системы. В функциональность заложена возможность анализировать локальные журналы как уровня ОС, так и отдельных приложений, например: SSH, MS Exchange, Apache, Proofpoint Sendmail, ARP Watch, FTPD, Microsoft IIS, Squid.

OSSEC обрабатывает информацию о событиях, которая приходит от других систем, от узлов с установленными агентами OSSEC, от межсетевых экранов. На основании правил в формате XML выдаются оповещения о подозрительных действиях.

OSSEC может отслеживать разрешения, размер и владельца файла. Сохраняет значения хэш-функций MD5 и SHA1 для файлов, за которыми было указано наблюдать. База данных всех этих значений хранится на сервере.

Плюсы OSSEC – простота установки и работы, широкие возможности и поддержка журналов от различных систем.

Минусы – трудность расширения базы знаний об атаках.

См. также