OSSEC HIDS

• > התקנה:
• שרת:
• עדכון Solaris קבוע להתקין (ddpbsd)
• סוכן:
• סקריפט InstallAgent.sh הקבוע לaddusers Mac OSX
• הבחנת OSX 10.5 מגרסאות קודמות
• אפשר os_auth לפתור שם מארח מנהל לכתובת ה- IP
• סוכן קבוע Windows
• Syscheck:
• מורחב גודל קובץ ממספר שלם למספר שלם ארוך
• סוכנים:
• הפוך configuable מרווח Heartbeat (Christobel רוזה)
• היה קבוע במרווח של 10 דקות, עכשיו להגדרה
• השתמש בossec.conf & quot; notify_time & quot ;, & quot; זמן חבר מחדש & quot;
• לשני סוכנים * nix וWindows

TBD
• פרטים נוספים (להיות מתועדים)
• התחבר ניטור / ניתוח:
• תכונה חדשה נוסף & quot; custom_alert_output & quot; (Christobel רוזה)

TBD
• פרטים נוספים (להיות מתועדים)
• מוסף לבדיקה (cgzones) של זיהוי שלטון כפול
• כללים ומפענחים:
• etc / decoder.xml מעודכן
• מפענח ar_log הקבוע (dcid)
• מפענחי עדכון (jp.zurbrugg)
• מפענח נוסף Pure-ftpd יומן העברה (ddpbsd)
• מפענחי יומן בקר SCSI mptbase mptscsih נוסף
• etc / כללים / מעודכנים:
• nginx_rules.xml - נוסף כדי להפחית את הרעש
• טהור-ftpd_rules.xml - כללים נוסף 11310, 11311, 11,312
• syslog_rules.xml - כללים נוסף 2935-2939 עבור בקר SCSI
• web_appsec_rules.xml - כללי phpMyAdmin עדכון
• הוספת שלטון 31515,31516, 31,530-31,533, 31,550
• web_rules.xml - עדכון,
• כלל נוסף 31164,31165 לניסיון הזרקת SQL
• אפשרויות פלט והתראה:
• csyslogd:
• נושא התרסקות קבועה במצב שאינו debug בשל ossec-DBD
שחיתות זיכרון
• נושא עיצור ערכי יומן נתונים קבועים
• תגובה פעילה:
• סקריפט firewall-drop.sh הקבוע כדי למנוע לולאת משאב (dcid)
• סקריפט ip-customblock.sh נוסף (dcid)
• נושא בעלות ar.conf הקבוע (ddpbsd)

תיקונים
• Scripts:
• הוסף הודעת יומן כאשר משהו & quot; לא התחיל בצורה נכונה & quot; (Ddpbsd)
• תרומות:
• / ossec2snorby / סקריפטים contrib נוסף, ראה README לפרטים

מה חדש בגרסה 2.7:

• התקנה:
• הוסף מצב היברידי - מאפשר את אותו המארח להיות גם שרת וסוכן, שימושי לפריסת OSSEC רבות קומות
.
• הוסף אפשרות -f manage_agents לדור בתפזורת של מקשי לקוח מקובץ קלט.
• במהלך התקנת הסוכן, לאפשר לשרת OSSEC להיות מוגדר בעזרת שם מארח במקום IP.
• Syscheck:
• הוסף תמיכת prelinking -. להפחית את הבלבול כאשר שינוי קובץ היא התוצאה של prelinking
• Rootcheck:
• הוסף בקרת תצורה פרטנית - מאפשר לך להפעיל / לכבות את משימות rootcheck פרט ליותר יעילות וגמישות. ברירת המחדל הוא כל ON.
• התחבר ניטור / ניתוח:
• הוסף תמיכת בדיקת GeoIP -. מאפשר עיר שמות גיאוגרפיים להיות מזוהים עם כתובות IP בהתראות OSSEC, למתאם לאינטליגנטי יותר
• אפשרויות התראה וsyslog פלט:
• הוסף syscheck סכום MD5 / SHA1 להתרעות לאינטגרציה קלה יותר עם חתימת הקובץ של הצד שלישי בדיקה.
• פורמטי JSON התמיכה וSplunk בתפוקת syslog.
• כללים ושינויים בולטים אחרים / תיקונים:

תמיכה
• Windows 2000 יומנים כבר מיושנת (אבל עדיין כנראה לעבוד בסדר). Server 2008 יומני Vista ו- Windows כעת נתמכים באופן רשמי.
• רמת כוננות רישום syscheck Windows צומצמה 7-5 כדי להפחית את הרעש מיותר מהתראות שאינו מצביעות על פשרה.
• מפענחי עדכון כוללים: PIX, auditd, Apache, פאם, php
.
כללים
• רבים מעודכנים, כגון בדיקות חדשות לניסיונות ניצול יישומי אינטרנט פגיעים.
• כללי rootcheck העדכון.
• ossec-client.sh עכשיו מאפשר ל'רענן ', בנוסף ל'הפעלה מחדש'
• תיקוני באגים רבים ...
• טקסט רישיון מתעדכן על ידי הוספת סעיף חריג עבור OpenSSL, בעוד OSSEC עדיין בGPLv2

מה חדש בגרסת 2.2:

• זוהי מהדורת יציבות, עם דגש כבד על תיקוני באגים, ניקוי קוד, וכמה תכונות חדשות.
• מגמת OSCE (סריקת Office) נוספה תמיכה בכללים כדי לפקח כראוי ולנתח יומני מגמה.
• וורדפרס היא פלטפורמת בלוגים פופולרית עם רישום קטן מאוד כברירת מחדל.
• יש מהדורה זו תוסף להרחיב את יכולות הרישום שלה, וכללים על OSSEC לפקח על זה.
• יש תמיכה בvpopmail, roundcube, נטסקרין IDS, ועוד כמה פורמטי יומן.

מה חדש בגרסת 2.0:

• גרסה זו מגיעה עם תכונות חדשות רבות, כוללים תמיכה בהידור (C-מבוסס) כללים, כלי דיווח חדשים, וניטור ללא סוכן כדי לאפשר שלמות קובץ בדיקה על התקני רשת (כולל חומות אש, נתבים, וכו ').
• היא גם מגיעה עם תמיכה בפורמטי יומן חדשים, כולל יומני מחסום, יאם, ועוד כמה.

מה חדש בגרסת 1.6: