Описание тега ossec
OSSEC - это система обнаружения вторжений на базе хоста с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности файлов, мониторинг политик, обнаружение руткитов, оповещение в реальном времени и активный ответ.
0
ответов
NGINX входит в WAZUH
Я использую NGINX в моей настройке и wazuh для IDS. Я хочу проверить все журналы nginx (доступ / ошибка) в wazuh kibana, но я не могу это сделать. Все журналы пересылаются в " /var/ossec/logs/archives/archives.log ", и они не отображаются в wazuh/ki…
09 июл '18 в 07:05
0
ответов
Пакет OSSEC для агентов по листингу
У кого-нибудь есть простой способ выполнить "/var/ossec/bin/agent_control -i XXX" в списке редактируемых мной агентов? Я не нашел более простой способ получить это для списка серверов, и обычно мне приходится выполнять это и получать доказательства …
11 фев '19 в 14:55
0
ответов
Проблема с журналами OSSEC, установленного на виртуальной машине Ubuntu Linux в Azure
Я установил OSSEC на виртуальную машину (узел) Ubuntu Linux в Azure, выполнив https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/ OSSEC установлен и работает должным образом, но при попытке действовать как нарушите…
13 дек '18 в 09:57
1
ответ
Сервер OSSEC или Wazuh сервер для конвейера Logstash к Qradar
В моей нынешней лабораторной установке у меня есть несколько машин с Windows и Linux с установленным агентом ossec и отправкой журналов на сервер ossec. С сервера OSSEC я пересылаю логи через вывод системного журнала в logstash. В logstash я не дела…
17 дек '18 в 14:34
0
ответов
ossec-authd: невозможно подключиться к порту 1515
Вот подробности: ОС: выпуск CentOS 6.9 (Финальный). Удаленный от ossec: OSSEC HIDS v2.9.2 ossec-authd: OSSEC HIDS v2.9.2 Порт: sshd 1181 root 3u IPv4 8893 0t0 TCP *:22 (LISTEN) master 1272 root 13u IPv4 11587 0t0 TCP orliosseccl663:25 (LISTEN) splun…
16 мар '18 в 04:38
1
ответ
OSSEC_HIDS Kubernetes Развертывание
Какую систему HIDS (HostBase Intrusion Detection System) лучше всего развернуть на облачной платформе Google Kubernetes? Я хочу построить образ докера на Debian: стабильный-тонкий Итак, я тестировал ossec-docker и wazuh-docker вот репо соответственн…
15 янв '19 в 06:27
1
ответ
Справочники для Ossec FIM
Я новичок в Ossec и недавно установил его на сервере для компании, в которой я сейчас работаю. Этот сервер контролирует 80 агентов Windows 7. Основная цель установки Ossec на этих агентских компьютерах заключалась в том, чтобы мы могли развернуть мо…
31 авг '18 в 09:43
0
ответов
Конфиг OSSEC alpine linux edge в контейнере докера
Я могу найти много информации о настройке OSSEC для других дистрибутивов, но у меня возникают проблемы с OSSEC в Alpine Linux: преимущество в док-контейнере. Я даже не дошел до запуска OSSEC. Кажется, по умолчанию отсутствует ossec.conf. Меня это не…
30 авг '18 в 18:26
0
ответов
OSSEC HIDS не может игнорировать правила, основанные на имени хоста
Я пытаюсь игнорировать правило ossec для оповещения, которое запускается с определенного хоста. Правило 5401 существует в файле syslog_rules.xml: <rule id="5401" level="10"> <if_sid>5400</if_sid> <match>3 incorrect password a…
03 апр '18 в 19:02
1
ответ
Можно ли включить / отключить правила удаленно с сервера Wazuh?
Я читал о централизованной конфигурации в Wazuh. Но можно ли включить / отключить правила на сервере вместо изменения на всех серверах?
22 июл '18 в 21:04
0
ответов
Как создать собственный новый параметр в файле ossec.conf. например, идентификатор
У меня есть файл ossec.conf, в этом файле <localfile> <log_format>syslog</log_format> <id>101</id> <command>This is a string not a file</command> </localfile> я создал id para. Но когда я компилирую os…
21 ноя '18 в 09:44
2
ответа
Уведомление по электронной почте OSSEC не удалось отправить электронное письмо
Я получаю сообщение об ошибке при попытке получить функции ossec: уведомление по электронной почте. Я использовал мою учетную запись Gmail для этого случая. Я пробовал этот урок, но я не мог получить от этого письма. Я получил журнал ошибок с предуп…
05 окт '17 в 12:14
1
ответ
WAZUH Все команды монитор
Как отслеживать каждую команду, выполняемую пользователем, даже на уровне sudo. Я настроил правила аудита, и они отображаются в audit.logs, но я хочу своевременно просматривать каждую команду с сервера на менеджер Kibana / wazuh. введите описание из…
21 май '18 в 12:23
1
ответ
Как получить предупреждения журнала OSSEC в Elasticsearch (ELK)?
Я пробовал этот урок. Но он не перехватил журнал OSSEC (оповещения, системный журнал и т. Д.), Он просто дал мне это сообщение для моих приложений Kibana. Не удалось найти данные Elasticsearch Вам нужно будет проиндексировать некоторые данные в Elas…
14 мар '18 в 07:47
0
ответов
Регулярное выражение для OSSEC
\Wname":".+ Имя ":" (+.)"}," + Src_ip. ":" (\ D + \ d + \ d + \ D +...) " "Dst_ip":"(\d+ \. d + \ d + \ d +)", "+ тяжесть":... (\ д д \) Это регулярное выражение, которое я использую сейчас для журнала ниже. 2017-09-07 12:40:18 User.Info 192.168.1.2…
30 ноя '18 в 09:40
1
ответ
Система обнаружения вторжений OSSEC
Я настроил OSSEC, следуя процедуре с https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntu-linux/ этого сайта. но после настройки, когда я попытался /var/ossec/bin/ossec-control перезапустить, я получил ossec-monitord не за…
22 май '18 в 10:09
1
ответ
Изменение профилей агента ossec(wazuh) через солончак
Я пытаюсь изменить <config-profile> раздел ossc.conf файл, включая содержание зерна. что-то вроде: ossec-profiles: - profile1 - profile2 и я хочу изменить раздел <config-profile> от <config-profile>centos, centos7</config-profil…
30 янв '19 в 11:11
0
ответов
Игнорировать конкретный URL в OSSEC
Наша CMS сгенерировала некорректный URL, который содержал %20FROM%20, Запросы на этот URL блокировались активным ответом OSSEC всякий раз, когда кто-то обращался к нему. Мы обновили URL до правильного, но всякий раз, когда робот Google получает дост…
09 апр '18 в 11:42
1
ответ
Конфигурация агента Windows OSSEC
Я начинаю с OSSEC, и я хочу настроить агент Windows. Я следовал за документацией и этим. Мой сервер является виртуальной машиной Ubuntu, и я хочу иметь агента Windows. Это вывод активных агентов. vm: / var / ossec / etC# /var/ossec/bin/list_agents -…
19 апр '19 в 08:56
0
ответов
Запустите сценарий оболочки со строками файла в качестве пользовательского ввода для сценария оболочки через ANSIBLE PlayBook
У меня есть сценарий оболочки, которые требуют 4 ввода пользователя для его выполнения. У меня было 4 файла, в которых были строки, используемые для ввода сценария оболочки. Я хочу запустить этот сценарий оболочки на моем хосте ansible через контрол…
15 май '19 в 07:20