翻译:http://ossec-docs.readthedocs.io/en/latest/manual/non-technical-overview.html

开始使用OSSEC
OSSEC是一个监视和控制系统的平台。它将HIDS(基于主机的入侵检测)、日志监视和安全事件管理(SIM)
/安全信息和事件管理(SIEM)的所有方面整合在一个简单、强大且开源的解决方案中。

优点:

法规遵循需求

OSSEC帮助客户满足特定的遵从性要求,例如PCI和HIPAA。它允许客户检测和警告未授权的文件系统修改和嵌入在商业产品日志文件中的恶意行为以及自定义应用程序。对于PCI,它涵盖了文件完整性监控(PCI 11.5、10.5)、日志检查和监视(第10节)和策略强制/检查的部分。

多平台

OSSEC允许客户实现一个全面的基于主机的入侵检测系统,在Linux、Solaris、Windows和MacOSx等多个平台上使用细粒度的应用程序/服务器特定策略。

实时和可配置警报

OSSEC允许客户配置他们想要提醒的事件,并让他们专注于在任何系统的常规噪音之上提高关键事
件的优先级。与smtp、sms和syslog的集成使得客户可以通过发送到电子邮件的设备来获得警报。
也可以使用主动的响应选项来阻止攻击。

与当前集成基础设施

OSSEC将整合客户的当前系统,如sim/sem(安全事件管理/安全事件管理)产品,用于集中的报告和事件的相关性。

集中管理

OSSEC为管理跨多个操作系统的策略提供了一个简化的集中式管理服务器。此外,它还允许客户为更细粒度的策略定义特定于服务器的覆盖。

代理和无代理监控

OSSEC提供了代理的灵活性和对系统和网络组件的无代理监视,如路由器和防火墙。无代理监控可以让那些在系统上安装软件的客户(如FDA批准的系统或设备)满足安全性和遵从性需求。

特性:

文件完整性检查

任何对你的网络和计算机的攻击都有一个共同点:它们会以某种方式改变你的系统。文件完整性检查(或FIM-文件完整性监视)的目标是检测这些更改并在发生时提醒您。它可以是攻击,或者是雇员的误用,甚至是管理员的输入错误,任何文件、目录或注册表更改都会通知您。

覆盖PCI DSS 11.5和10.5.5。

日志监控

你的操作系统想要和你沟通,但是你知道如何倾听?您的网络上的每个操作系统、应用程序和设备都会生成日志(事件)来让您知道发生了什么。OSSEC收集、分析和关联这些日志,让您知道是否发生了可疑的事情(攻击、误用、错误等)。你想知道什么时候在你的客户端上安装了一个应用程序吗?或者当某人在您的防火墙中更改规则时?通过监视您的日志,OSSEC将通知您。

这应该包括PCI DSS第10部分。

Rootkit检测

黑客想要隐藏他们的行为,但是使用rootkit检测,你可以在系统被修改的时候得到通知。

积极响应

主动响应允许OSSEC在触发特定警报时立即采取行动。这可以防止事件在管理员采取行动之前传播。