OSSEC HIDS

OSSEC er en gratis og open-source Host-baserede Intrusion Detection System, der gør det muligt at udføre log analyse fil integritet kontrol, politisk overvågning, rootkit afsløring, real-time alarm og aktiv reaktion.
OSSEC er cross-platform, og det virker på Mac OS X, Windows og Linux

Hvad er nyt i denne udgivelse:.

• Installation:
• Server:
• Fast Solaris opdatering installere (ddpbsd)
• Agent:
• Fast InstallAgent.sh script til Mac OSX addusers
• Skelne OSX 10.5 fra tidligere versioner
• Tillad os_auth at løse leder værtsnavn til IP-adresse
• Fast Windows Agent
• Syscheck:
• Udvidet filstørrelse fra et heltal til en lang heltal
• befuldmægtigede:
• Opret Heartbeat interval configuable (Christobel Rosa)
• blev fastsat til 10 minutters mellemrum, nu konfigurerbar
• Brug ossec.conf & quot; notify_time & quot ;, & quot; tid-reconnect & quot;
• For både * nix og Windows agenter
• Flere detaljer TBD (skal dokumenteres)
• Log overvågning / analyse:
• Tilføjet ny funktion & quot; custom_alert_output & quot; (Christobel Rosa)
• Flere detaljer TBD (skal dokumenteres)
• Tilføjet kontrol for to eksemplarer regel ID'er (cgzones)
• Regler og dekodere:
• etc / decoder.xml opdateret
• Fast ar_log dekoder (dcid)
• Opdateret dekodere (jp.zurbrugg)
• Tilføjet Pure-ftpd transfer log dekoder (ddpbsd)
• Tilføjet mptscsih mptbase SCSI controller log dekodere
• etc / regler / opdateret:
• nginx_rules.xml - Tilføjet at reducere støj
• racerene ftpd_rules.xml - Tilføjet regler 11310, 11311, 11312
• syslog_rules.xml - Tilføjet regler 2935-2939 for SCSI-controller
• web_appsec_rules.xml - Opdateret phpMyAdmin regler
• Tilføjet regel 31515,31516, 31530-31533, 31550
• web_rules.xml - Opdateret,
• Tilføjet regel 31164,31165 til SQL injektion forsøg
• Output og Alert muligheder:
• csyslogd:
• Fast nedbrud problem i ikke-debug mode på grund af ødelæggelse af hukommelsen OSSEC-DBD
• Fast database logposter trunkering spørgsmål
• Aktiv Svar:
• Fast firewall-drop.sh script for at forhindre en ressource løkke (dcid)
• Tilføjet ip-customblock.sh script (dcid)
• Fast ar.conf ejerskab problem (ddpbsd)
• Scripts rettelser:
• Tilføj en log besked når noget & quot; startede ikke korrekt & quot; (Ddpbsd)
• Bidrag:
• Tilføjet contrib / ossec2snorby / scripts, se README for detaljer

Hvad er nyt i version 2.7:

• Installation:
• Tilføj hybrid tilstand - giver den samme vært at være både en server og en agent, som er nyttige for multi-tier OSSEC implementering
.
• Tilføj manage_agents -F option for bulk generation af klient nøgler fra en input-fil.
• Under Agent installation, lade OSSEC server, der skal angives ved hjælp værtsnavn i stedet for IP.
• Syscheck:
• Tilføj prelinking støtte -. Reducere forvirring, når en fil forandring er resultatet af prelinking
• Rootcheck:
• Tilføj finkornet konfigurationskontrol - gør det muligt at tænde / slukke individuelle rootcheck opgaver for mere effektivitet og fleksibilitet. Standarden er alle på.
• Log overvågning / analyse:
• Tilføj GeoIP opslag support -. Muliggør geografiske bynavne at være forbundet med IP-adresser i OSSEC advarsler, for mere intelligent korrelation
• Alert muligheder og syslog output:
• Tilføj syscheck MD5 / SHA1 sum til indberetninger nemmere integration med tredjeparts fil signatur kontrol.
• Support JSON og Splunk formater i syslog output.
• Regler og andre bemærkelsesværdige ændringer / rettelser:
• Windows 2000 logs støtte er blevet frarådet (men vil formentlig stadig fungere fint). Vista og Windows Server 2008 logs er nu officielt understøttet.
• Windows registreringsdatabasen syscheck alarmniveau er reduceret 7-5 for at reducere unødig støj fra indberetninger, der ikke er fastsat en kompromis.
• Opdater dekodere nævnes: PIX, auditd, apache, pam, php
.
• Mange opdaterede regler, såsom nye kontroller for sårbare udnyttelse web apps forsøg.
• Opdater rootcheck regler.
• ossec-client.sh nu giver mulighed for "reload", ud over "genstart"
• Mange fejlrettelser ...
• LICENS tekst opdateres ved at tilføje undtagelsesklausul for OpenSSL, mens OSSEC er stadig under GPLv2

Hvad er nyt i version 2.2:

• Dette er en stabilitet udgivelse, med stort fokus på fejlrettelser, kode oprydning, og et par nye funktioner.
• Trend OSCE (Office Scan) støtte er blevet tilføjet med regler til korrekt analysere og overvåge Trend logs.
• Wordpress er en populær blogging platform med meget lidt logning som standard.
• Denne udgivelse har et plugin til at udvide sine logning, og regler om OSSEC til at overvåge den.
• Der er understøttelse for vpopmail, Roundcube, Netscreen IDS, og et par mere log formater.

Hvad er nyt i version 2.0:

• Denne version kommer med en lang række nye funktioner, herunder støtte til kompileret (C-baserede) regler, nye rapporteringsværktøjer samt agentfri overvågning for at tillade fil integritet kontrol på netværksenheder (herunder firewalls, routere, osv).
• Det leveres også med støtte til nye log-formater, herunder Checkpoint logs, Yum, og et par mere.

Hvad er nyt i version 1.6:

• Denne version giver den mest omfattende opdatering til OSSEC i sin historie , med en lang række nye funktioner, herunder understøttelse af Microsoft Vista (og Server 2008), VMware ESX, aktiv respons på Windows, SNG benchmarks for Linux (gennem politik revision), VMWare Security hærdning retningslinjer, McAfee Virus Scan Enterprise logs, VMware ESX hostd logs , Mac OS FTP server logs, og meget mere.