OSSEC HIDS

OSSEC je zdarma a open-source Host-based Intrusion Detection System, který umožňuje provádět analýzu protokolu, soubor integrity dat, sledování politik, detekce rootkitů, výstrahy v reálném čase a aktivní reakci.
OSSEC je cross-platform, a pracuje na systému Mac OS X, Windows a Linux

Co je nového v této verzi:.

• Instalace:
• Server:
• Pevná aktualizace Solaris (ddpbsd)
• Agent:
• Pevná skript InstallAgent.sh pro Mac OSX addusers
• Rozlišovací OSX 10,5 z předchozích verzí
• Povolit os_auth vyřešit správce hostname na IP adresu
• Pevná Windows Agent
• SysCheck:
• Rozšířená velikost souboru z celé číslo do dlouhé celé číslo
• Obchodní zastoupení:
• Make Heartbeat interval configuable (Christobel Rosa)
• byla stanovena na 10 minut intervalech, nyní konfigurovatelný
• Použít ossec.conf & quot; notify_time & quot ;, & quot; time-opětovné připojení & quot;
• Pro oba * nix a Windows agenti
• Více informací TBD (třeba zdokumentovat)
• Přihlásit monitorování / analýza:
• Přidány nové funkce & quot; custom_alert_output & quot; (Christobel Rosa)
• Více informací TBD (třeba zdokumentovat)
• kontrola Přidána duplikátu pravidlo číslo je (cgzones)
• Pravidla a dekodéry:
• etc / decoder.xml aktualizováno
• Pevná ar_log dekodér (dcid)
• Aktualizováno dekodéry (jp.zurbrugg)
• Přidáno Pure-ftpd log přenos dekodér (ddpbsd)
• dekodéry protokolu přidáno mptscsih mptbase SCSI řadič
• etc / pravidla / aktualizováno:
• nginx_rules.xml - Přidal se k snížení hluku
• pure-ftpd_rules.xml - Přidáno pravidla 11310, 11311, 11312
• syslog_rules.xml - Přidána pravidla 2935-2939 pro SCSI řadič
• web_appsec_rules.xml - Aktualizováno pravidla phpMyAdmin
• Přidáno pravidlo 31515,31516, 31530 až 31533, 31550
• web_rules.xml - Aktualizováno,
• přidáno pravidlo 31164,31165 při pokusu SQL injection
• výstup a výstrah volby:
• csyslogd:
• Opravena chyba, pád v režimu non-debug kvůli korupci paměti ossec-DBD
• Pevná databáze záznamy v protokolu zkrácení problém
• Active Response:
• Pevná firewall-drop.sh skript, aby se zabránilo smyčky zdrojů (dcid)
• přidáno ip-customblock.sh script (dcid)
• Pevná ar.conf vlastnictví vydání (ddpbsd)
• Skripty opravy:
• Přidat zprávu protokolu, když se něco & quot; nezačal správně & quot; (Ddpbsd)
• Příspěvky:
• Přidáno contrib / ossec2snorby / scripts, najdete v README podrobnosti

Co je nového ve verzi 2.7:

• Instalace:
• Přidat hybridním režimu - umožňuje stejný hostitel být oba serveru a činidlo, vhodné pro multi-tier OSSEC nasazení
.
• Přidat možnost manage_agents -f pro Hromadná klientských klíčů ze vstupního souboru.
• Při instalaci agenta, aby serveru OSSEC být určen pomocí hostitele namísto IP.
• SysCheck:
• Přidat prelinking podporu. - Snížit zmatek při změně souboru je výsledkem prelinking
• Rootcheck:
• Přidat přesné nastavení konfigurace - Umožňuje zapnutí / vypnutí jednotlivých rootcheck úkoly pro větší efektivitu a flexibilitu. Výchozí hodnota je všechno ON.
• Přihlásit monitorování / analýza:
• Přidává podporu GeoIP vyhledávání. - Umožňuje zeměpisné názvy měst mají být spojeny s IP adresami v záznamech OSSEC, pro další inteligentní korelaci
• Výstražné volby a syslog výkon:
• Přidat SysCheck MD5 / SHA1 částku k záznamům pro snadnější integraci s kontrolou podpis souboru třetí strany.
• Podpora JSON a Splunk formáty syslog výkonem.
• Pravidla a další pozoruhodné změny / opravy:
• Windows 2000 přihlásí podpora se již nepoužívá (ale bude pravděpodobně i nadále fungovat dobře). Vista a Windows Server 2008 protokoly jsou nyní oficiálně podporovány.
• varovné úrovně registru Windows SysCheck byl snížen 7-5 omezit nežádoucí šum ze záznamů, které neuvádějí kompromis.
• Aktualizace dekodéry patří: PIX, auditd, Apache, pam, php
.
• Mnoho aktualizovaná pravidla, jako jsou nové kontroly pro zranitelné pokusů webových aplikací využití.
• pravidla Aktualizovat rootcheck.
• ossec-client.sh nyní umožňuje "Reload", navíc k "restartu"
• mnoho oprav ...
• text licence aktualizováno přidáním výjimky doložku pro OpenSSL, zatímco OSSEC je stále pod licencí GPLv2

Co je nového ve verzi 2.2:

• Toto je vydání stability, s těžkým důrazem na oprav, kód vyčištění, a několik nových funkcí.
• Trend OBSE (Office skenování) byla přidána podpora s pravidly řádně sledovat a analyzovat Trend protokoly.
• Wordpress je populární blogovací platformy s velmi malým těžby dřeva ve výchozím nastavení.
• Tato verze má plugin pro rozšíření své schopnosti protokolování, a pravidla týkající se OSSEC sledovat to.
• K dispozici je podpora pro vpopmail, Roundcube, NetScreen IDS, a několika dalších formátů protokolu.

Co je nového ve verzi 2.0:

• Tato verze přichází s řadou nových funkcí, včetně podpory pro zkompilovaný (C-based) pravidla, nové nástroje pro podávání zpráv, a bez agenta monitorování, aby celistvosti souboru kontroloval síťových zařízení (včetně firewallů, routerů apod.);
• Je také přichází s podporou nových formátů protokolů, včetně Checkpoint kulatiny, Yum, a pár dalších.

Co je nového ve verzi 1.6:

• Tato verze přináší nejkomplexnější aktualizaci OSSEC ve své historii , s mnoha novými funkcemi, včetně podpory pro Microsoft Windows Vista (a Server 2008), VMware ESX, aktivní reakce na Windows, CIS měřítka pro Linux (prostřednictvím auditu politiky), VMWare Security kalení pokyny, McAfee Virus Scan Enterprise špalků, VMware ESX hostd kulatiny , protokoly serveru Mac OS FTP, a ještě mnohem více.