开源EDR(OSSEC)基础篇

  • 时间:
  • 浏览:15
  • 来源:uu快3大小_uu快3网站_开奖历史

Rootkit是并与非 特殊的恶意软件,它通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。Rootkit的基本功能包括提供root后门,控制内核模块的加载、隐藏文件、隐藏系统程序运行运行、隐藏网络端口,隐藏内核模块等,主要目的在于隐藏自己或者不被安全软件发现,Rootkit几乎促进 隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer,而Rootcheck日后OSSEC提供的专门用于检测操作系统rootkit的引擎

最并非 的是,OSSEC提供了全平台系统的支持,包括Linux,Solaris,AIX,HP-UX,BSD,Windows,Mac和VMware ESX,突破性的实现了主机入侵态势感知的全覆盖。

OSSEC通过文件全部性监控,日志监控,rootcheck和流程监控,全面监控企业资产系统活动的各个方面,对于安全管理提供了最好的最好的土办法。

在这篇文章中,亲戚我们我们将讨论OSSEC这款开源产品的安全能力,尽愿因全部的展现OSSEC在各种安全场景中的应用,了解哪几种促进帮助企业安全管理者更好的使用这款开源安全工具来应对日趋严峻的安全什么的什么的问题。

根据规则功能分组来确定 告警发送给谁补救

使用nc工具,临时监听TCP端口

邮件主题:OSSEC Alert - localhost - Level 7 - Listened ports status (netstat) changed (new port opened or closed).

亲戚我们我们从告警的输出,就促进 知道服务监听的情況居于的变更,告警分别打印了,情況变更前后查询命令输出

OSSEC得到了第三方安全团队的支持,其中Wazuh日后基于OSSEC开发的两个多 多高级版本,在OSSEC的自身功能的基础上进行扩展和优化。

响应脚本

主动响应日志输出

邮件告警内容

对于netstat命令,做了/bin/netstat文件变化的监控,收到了下面的告警信息,文件大小正常大小为1560 00,告警显示文件大小从1560 00改变为129238,日后 就能有效的监控命令文件与非 被替换,第一时间感知到你你这个 危险操作

rootcheck功能检测到/dev目录下居于隐藏文件,日后进行了提权操作

Active Responses 分为commandactive-response两个多 多每项, 且两个多 多促进被执行的Active Responses规则时要一块儿蕴含commandactive-response两个多 多每项

关于OSSEC的规则每项内容会在后边的章节做全部的介绍。

创建调用响应脚本命令

操作系统有日后系统信息,比如账号密码变更,启动项变更,服务监听变更,一定会通过命令查询获知,而通过OSSEC的Command最好的最好的土办法,促进 周期分类整理查询命令,并对输出结果进行比对,及时感知情況变化

测试最好的最好的土办法

重启OSSEC系统程序运行运行, 手动尝试多次SSH登录或者输入错误密码

当然OSSEC的异常行为检测功能,不不仅限于上述例子,更多的功能还藏匿于内置规则,等待歌曲挖掘,最后随着不断深入理解日志并与非 ,你能利用OSSEC创发明的故事人更多更好用的功能。

配置主动响应规则

无论攻击手段有多么高明,最终的目的是以并与非 最好的最好的土办法改变系统,从修改文件的病毒到改变内核的后门系统程序运行运行,系统的全部性总会有日后变化,Syscheck全部性检查是终端检测的重要组成每项,通过查找系统和Windows注册表中密钥文件的MD5/SHA1校验和的更改来检测系统全部性的变化,该功能的设计目的是监控操作系统中关键文件的修改情況,及时发现篡改行为。

从这批日志里亲戚我们我们促进 看一遍,同两个多 多来源IP不断的使用通过同两个多 多账户admin尝试SSH登录,结果都失败了,不断的失败达到一定数量,那可是我愿因是暴力破解行为

了解Linux的都知道Linux的一切皆文件,Linux 中的各种事物比如像文档、目录、键盘、监视器、硬盘、可移动媒体设备、打印机、调制解调器、虚拟终端,等等一切都可看作是文件,这就给了攻击者两个多 多很好的攻击思路,那日后替换文件,保留日后 文件的基本功能,一块儿嵌入后门系统程序运行运行,比较常见被替换的命令文件有psnetstatsslsof 等等

在/dev下创建隐藏文件

更多检测功能

当居于攻击时,OSSEC会通过发送告警日志和邮件警报让系统管理员及时感知威胁,并在短时间内进行应急补救,最大程度的补救企业遭受损失。OSSEC还促进 通过syslog将告警信息导出到任何SIEM系统,譬如OSSIM进行关联安全分析。

而OSSEC是一款开源的跨平台的准EDR入侵检测响应系统,促进 实现商业EDR 大每项的功能,促进 说OSSEC是所有EDR商业产品的原型,发展至今愿因有10几年的历史。

显示host.deny脚本的前10行,第七行说明脚本时要输入srcip参数,促进正常运行

本文日后提到OSSEC是一款准EDR产品,其中体现的‘R’技术,日后指的的你你这个 主动响应,亲戚我们我们促进 根据特定的服务器或服务器组(agent)、特定的规则ID等多个条件关联触发响应动作,响应的动作促进 通过脚本系统程序运行运行去实现个性化的需求,哪几种需求促进 是邮件提醒,也是促进 是指令分类整理边界安全设备愿因安全组件进行访问封堵愿因恢复,愿因更多的本地化需求(脚本实现),当然OSSEC内置也蕴含日后常用的响应脚本,只需在此基础上稍加改变,就促进 投入使用

通过vim编辑器做个删除每项内容的操作,修改日后一定记得备份

在对OSSEC有个整体上的了解日后,亲戚我们我们将系统性的介绍OSSEC在各种环境中的安装与部署,包括单机部署、客户端与服务器分离部署,以及如保把告警日志数据存储到MySQL中,并通过自带的UI工具,进行展现告警。

根据服务器(agent-id)来确定 告警发送给谁补救

根据规则ID来确定 告警发送给谁补救

日志的监控可分为并与非 ,并与非 是被动的分类整理,通过分类整理时要的日志,读取日志信息,标准化输出适应安全规则使用的内容,当匹配到内置愿因自定义的规则,日后输出实时告警,从而发现异常;另并与非 是主动的查询,通过周期分类整理命令查询系统情況信息,或者进行新旧信息比对,从而发现异常。

从这批日志里亲戚我们我们促进 看一遍在一分钟之内,同两个多 多来源IP地址(207.44.184.96),频繁的访问不居于的页面,经常再次出现了几滴 404的情況码,这愿因Web站点正在遭受扫描攻击

对于一款开源工具愿因是商业产品,对于使用者最先关心的日后她到底能干些哪几种?

以下通过迷你案例来分别展示OSSEC的主促进力,让亲戚我们我们暂时不关心如保配置,只关心她能实现哪几种价值!!

介绍OSSEC日后,不得不提到当前比较热门的技术EDR,近几年随着大数据SIEM系统的发展,EDR(端点威胁检测与响应)技术成为了安全界万众宠爱的骄子,广泛用于威胁检测、攻击溯源和响应补救的安全场景。

通过 ossec.conf 文件配置指定规则组、指定规则ID、指定服务器(agent)触发的实时告警发给专门负责的管理员邮箱,实现职责归属明确,故障类的告警发给运维管理员、安全类的告警发给安全管理员,有点硬关注的告警事件发给什么的什么的问题补救专员等