OSSEC HIDS

OSSEC es un sistema de detección de intrusiones basado en host gratuito y de código abierto que permite realizar análisis de registro, presentar comprobación de la integridad, el seguimiento de políticas, detección de rootkits, alertas en tiempo real y la respuesta activa.
OSSEC es multiplataforma y funciona en Mac OS X, Windows y Linux

¿Cuál es nuevo en esta versión:.

• Instalación:
• Servidor:
• actualización de Solaris de instalación fija (ddpbsd)
• Agente:
• Fijo guión InstallAgent.sh para addusers Mac OSX
• Distinguir OSX 10.5 de versiones anteriores
• Permita os_auth para resolver gerente nombre de host a la dirección IP
• Fijo Agente de Windows
• SysCheck:
• Extended tamaño de archivo de un entero a un entero largo
• Agentes:
• Haga Heartbeat configuable intervalo (Christobel Rosa)
• ¿Se fija en intervalos de 10 minutos, ahora configurable
• Uso ossec.conf & quot; & quot ;, notify_time & quot; el tiempo de reconexión & quot;
• En tanto * nix agentes y Windows
• Más detalles TBD (A documentarse)
• Registro de monitoreo / análisis:
• nueva función & quot Añadido; custom_alert_output & quot; (Christobel Rosa)
• Más detalles TBD (A documentarse)
• Agregado comprobación de duplicados de ID de regla (cgzones)
• Normas y Decodificadores:
• etc / decoder.xml actualizado
• decodificador ar_log Fijo (dcid)
• decodificadores Actualizado (jp.zurbrugg)
• Añadido Pure-ftpd registro de transferencia decodificador (ddpbsd)
• decodificadores registro controladora SCSI mptbase Añadido mptscsih
• etc / normas / actualización:
• nginx_rules.xml - Añadido a reducir el ruido
• pure-ftpd_rules.xml - reglas Añadido 11310, 11311, 11312
• syslog_rules.xml - Añadido reglas 2935-2939 para el controlador SCSI
• web_appsec_rules.xml - Actualizado reglas phpMyAdmin
• Añadido regla 31515,31516, 31530-31533, 31550
• web_rules.xml - Actualizado,
• regla Añadido 31164,31165 por intento de inyección SQL
• Las opciones de salida y Alerta:
• csyslogd:
• tema Solucionado el fallo en el modo de no depuración debido a la corrupción de memoria ossec-DBD
• base de datos fija entradas de registro tema truncamiento
• Respuesta Activa:
• guión firewall-drop.sh fijo para evitar un bucle de recursos (dcid)
• Añadido guión ip-customblock.sh (dcid)
• tema de la propiedad ar.conf Fijo (ddpbsd)
• Scripts correcciones:
• Añadir un mensaje de registro cuando algo & quot; no comenzaron correctamente & quot; (Ddpbsd)
• Contribuciones:
• Añadido contrib / ossec2snorby / scripts, vea README para detalles

¿Qué hay de nuevo en la versión 2.7:

• Instalación:
• Añadir modo híbrido - permite que el mismo host a ser a la vez un servidor y un agente, útil para varios niveles de despliegue OSSEC
.
• Agregar opción manage_agents -f para la generación mayor de claves de cliente a partir de un archivo de entrada.
• Durante la instalación del agente, permitir que el servidor OSSEC para especificar utilizando el nombre de host en lugar de IP.
• SysCheck:
• Añadir soporte prelinkado -. Reducir la confusión cuando un cambio de archivo es el resultado de prelinkado
• Rootcheck:
• Agregar control de la configuración de grano fino - le permite convertir en tareas rootcheck / OFF individuales para una mayor eficiencia y flexibilidad. El valor predeterminado es Todo.
• Registro de monitoreo / análisis:
• Añadir soporte de búsqueda GeoIP -. Permite nombres de ciudades geográficas para ser asociados con direcciones IP en alerta OSSEC, para la correlación más inteligente
• Opciones de Alerta y syslog de salida:
• Añadir SysCheck MD5 / SHA1 suma a las alertas de integración más fácil con la comprobación de la firma de archivos de terceros.
• JSON Soporte y Splunk formatos de salida de syslog.
• Normas y otros notables cambios / correcciones:

Apoyo
• de Windows 2000 registros se ha desaprobado (pero probablemente todavía funciona bien). Vista y Windows Server 2008 registros son ahora soportados oficialmente.
• nivel de alerta registro de Windows SysCheck se ha reducido de 7 a 5 para reducir el ruido innecesario de alerta que no indican un compromiso.
• Actualizar decodificadores incluyen: PIX, auditd, apache, pam, php
.
• Muchas normas actualizadas, como los nuevos controles para los intentos de explotación de aplicaciones web vulnerables.
• reglas Actualización rootcheck.
• ossec-client.sh ahora permite 'reload', además de 'reinicio'
• Muchas correcciones de errores ...
• texto LICENCIA actualiza añadiendo cláusula de excepción para OpenSSL, mientras OSSEC todavía está bajo GPLv2

¿Cuál es nuevo en la versión 2.2:

• Este es un comunicado de estabilidad, con el foco pesado en correcciones de errores, código de limpieza, y algunas nuevas características.
• Tendencia de la OSCE (exploración Office) se ha añadido soporte con reglas para supervisar adecuadamente y analizar los registros de tendencia.
• Wordpress es una plataforma de blogs populares con muy poco registro de forma predeterminada.
• Esta versión tiene un plugin para ampliar sus capacidades de registro y normas sobre OSSEC para vigilar a él.
• Hay soporte para vpopmail, roundcube, Netscreen IDS, y unos cuantos más formatos de registro.

¿Cuál es nuevo en la versión 2.0:

• Esta versión viene con muchas nuevas características, incluyendo soporte para compilar (C-basado) las normas, nuevas herramientas de información y la supervisión sin agente para permitir la comprobación de integridad de archivos en dispositivos de red (incluyendo firewalls, routers, etc).
• También viene con soporte para nuevos formatos de registro, incluyendo los registros de Checkpoint, Yum, y unos cuantos más.

¿Qué hay de nuevo en la versión 1.6:

• Esta versión ofrece la actualización más completa hasta la OSSEC en su historia , con numerosas características nuevas, incluyendo soporte para Microsoft Vista (y Server 2008), VMware ESX, respuesta activa en Windows, los puntos de referencia de la CEI en Linux (a través de la auditoría de la política), VMWare reforzar la seguridad de directrices, McAfee Virus Scan Enterprise registros, registros de VMware ESX hostd , los registros del servidor Mac OS FTP y mucho más.