OSSEC-编写自己的DECODE

最新推荐文章于 2019-12-24 20:21:48 发布
最新推荐文章于 2019-12-24 20:21:48 发布
阅读量1.4k 收藏
点赞数
分类专栏: ossec 开发 linux 相关
linux 相关 同时被 3 个专栏收录
187 篇文章 1 订阅
订阅专栏
开发
168 篇文章 0 订阅
订阅专栏
ossec
3 篇文章 0 订阅
订阅专栏

http://www.freebuf.com/articles/system/6157.html


OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 
以及 MacOS等操作系统中。包括了日志分析,全面检测,rook-kit检测。作为一款HIDS,
OSSEC应该被安装在一台实施监控的系统中。

OSSEC 之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID
会编写DECODE会对使用OSSEC 有很大的帮助。 这里会要用到OSSEC的一个测试命令 ossec-logtest.
这里编写一个简单的规则,遇到lion_00的时候,会产生一条ALERTID 为8888 严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule 下创建一个testrule.xml  内容为:

 

 

 

 

 

 

 

<group name="localtest,">                       //每一组rule 都要有group
<rule id="8888" level="7">
    <decoded_as>lion</decoded_as>               //使用一个叫lion的decode 
    <description>testrule</description>                  //产生的告警信息
  </rule>
</group>
 

 需要编写DECODE,在/var/ossec/etc/decoder.xml (默认安装目录)
 

 
 

 

 

<decoder name="lion">                     //这里是不规范注释,decoder 名称 上面提到的lion
<prematch>^lion_00</prematch>            // 匹配的内容    如果是高级的DECODER 还会有很多参数   
</decoder>                        
 

 需要说明的是,最好将自己的decode 放到文件稍微靠上的位置。 
 这个时候,使用 /var/ossec/bin/ossec-logtest  输入lion_00 会看到
 

 
 

 
 

 

 

 

**Phase 1: Completed pre-decoding.
       full event: 'lion_00'
       hostname: 'IDC2103'
       program_name: '(null)'
       log: 'lion_00'
**Phase 2: Completed decoding.
       decoder: 'lion'
**Phase 3: Completed filtering (rules).
       Rule id: '8888'
       Level: '7'
       Description: 'testrule'
**Alert to be generated.
 

 ok 成功。
 

 
 
 


                

        

        

    




    

      

        

            

              
                
                  天天向上_好好学习
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
OSSEC的decoder语法

				
			

			

				

					可木的专栏
				

				

					03-08
					
					986
					
				

			

		

		

			
				
选项:
decoder
Attributes:

id::name:type:status:

decoder.parent
decoder.program_name
Allowed: Any 
OS_Match/sregex Syntax

decoder.prematch
Allowed: Any 
OS_Match/sregex Syntax

decoder.

			
		

	



                

              
                



	

		

			

				
					
OSSEC编写DECODE

				
			

			

				

					weixin_33964094的博客
				

				

					03-26
					
					96
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	



                


  
              

                


	

		

			

				
					
ossec集成自定义脚本

				
			

			

				

					HRay's blog
				

				

					11-07
					
					852
					
				

			

		

		

			
				
在使用ossec之前我们这边零零散散的写了几个安全功能的脚本,放在机器上要一直监控进程是不是存在,使用ossec后,可以通过在客户端的ossec.conf中增加如下内容
  
    full_command
    /usr/bin/python xxx.py
    10
  


其中frequency可以指定执行间隔时间,这里我设置的是10秒执行一次

			
		

	





	

		

			

				
					
OSSEC文档——创建自定义解码器和规则

				
			

			

				

					c1052981766的专栏
				

				

					02-28
					
					1473
					
				

			

		

		

			
				
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则	OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。	添加要监视的文件...

			
		

	



		

			
		



	

		

			

				
					
OSSEC文档——规则分类(级别)

				
			

			

				

					c1052981766的专栏
				

				

					02-28
					
					1762
					
				

			

		

		

			
				
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别)	这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。	这些规则将从最高到最低的级别进行读取。	00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...

			
		

	





	

		

			

				
					
ossec-agent-win32-3.6.0

				
			

			

				

					03-28
				

			

		

		

			
				
WINDOWS下配合OSSEC SERVER的agent,安装方便,与Server段联合使用,可以实现多平台的SEIM功能

			
		

	





	

		

			

				
					
ansible-ossec-agent:为RedHatDebianUbuntu安装和维护ossec-agent

				
			

			

				

					05-24
				

			

		

		

			
				
dj-wasabi.ossec-agent  该角色将在服务器上安装并配置ossec-agent。 当配置了参数ossec_server_name ,它将使操作延迟以自动验证代理。  生成状态: 要求 该角色将在以下方面工作:  红色的帽子 的Ubuntu  德比安 ...

			
		

	





	

		

			

				
					
ossec-hids-3.6.0 源码

				
			

			

				

					03-28
				

			

		

		

			
				
总之,OSSEC-HIDS-3.6.0源码提供了强大的主机入侵检测能力,通过自编译,用户可以根据自己的系统环境定制安全解决方案,确保服务器的安全性。在部署和使用过程中,理解源码结构、熟悉配置文件以及持续监控和优化,都...

			
		

	





	

		

			

				
					
ansible-role-ossec-agent:安装和配置ossec-agent的角色

				
			

			

				

					05-01
				

			

		

		

			
				
"ansible-role-ossec-agent" 是一个基于Ansible自动化运维工具的角色,专门用于部署和配置OSSEC主机入侵检测系统(HIDS)的代理。标题表明这个角色可以帮助系统管理员快速、一致地在多台服务器上安装并设置OSSEC ...

			
		

	





	

		

			

				
					
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器

				
			

			

				

					05-24
				

			

		

		

			
				
 ossec_server_atomic_release: 1.0-21ossec_server_config: []ossec_agent_configs: []设置示例编辑运行ossec-server的主机的vars文件:host_vars / ossec-server install_postfix: truepostfix_mydomain: email-...

			
		

	





	

		

			

				
					
OSSEC安全监控环境搭建(docker+yum)安装

				
			

			

				

					weixin_33748818的博客
				

				

					09-05
					
					921
					
				

			

		

		

			
				
一、搭建环境
参看文章:
ossec官方安装文档
全网最详细的最新稳定OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))(图文详解)
系统:Centos7



计算机
IP




ossec-server
172.16.30.23


ossec-agent
172.16.30.24



安装软件及版本:
ossec3.0
ma...

			
		

	





	

		

			

				
					
部署ossec所踩过的坑

				
			

			

				

					Ubuntu18.04部署honeyd
				

				

					12-24
					
					1292
					
				

			

		

		

			
				
ossec
为了学习入基于主机的侵检测系统的监控策略和监控内容,所以想自己部署一个HIDS来学习学习。在Google上一顿乱搞之后,点进了ossec的官网,看到映入眼帘的这几个大字,当即决定就是它了,出来吧ossec!!!

部署环境
docker+windowsR2

服务端部署在docker内
客户端部署在windows2008R2中

部署过程
在这里只记录一下部署ossec遇到的坑(以备日...

			
		

	





	

		

			

				
					
ossec的新功能--预编译规则之一:ossec的规则

				
			

			

				

					daosecurity的专栏
				

				

					03-05
					
					2341
					
				

			

		

		

			
				
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的

			
		

	





	

		

			

				
					
OSSEC主要功能及原理+详细配置+日志文件分析

					
热门推荐

				
			

			

				

					AlexTan_的博客
				

				

					07-31
					
					3万+
					
				

			

		

		

			
				
作者:谭丙章 
E-mail:feifengwind@163.comOSSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测

			
		

	





	

		

			

				
					
ossec3.3 agent自动安装脚本

				
			

			

				

					qq_15900895的博客
				

				

					08-14
					
					512
					
				

			

		

		

			
				
服务端:
echo "fab7664fea149d004719af71874c72af" > /var/ossec/etc/authd.pass

客户端
#/bin/bash
cd /opt/ && wget https://github.com/ossec/ossec-hids/archive/3.3.0.tar.gz
tar zxvf 3.3.0.tar.gz &amp...

			
		

	





	

		

			

				
					

                                开源EDR(OSSEC)基础篇- 02 -部署环境与安装方式
    

				
			

			

				

					weixin_34232363的博客
				

				

					12-28
					
					2715
					
				

			

		

		

			
				
前言
上一篇介绍了OSSEC设计的定位以及产品输出的能力,在对OSSEC安全功能有个大体印象的前提下,我们接着开始实践OSSEC的安装和部署,本篇重点的重点是帮助初次接触或者对OSSEC不熟悉的同学,无痛安装,并能够用最短的时间在所服务的企业内部真正的使用起来。
1. 环境准备
1.1 拓扑图

1.2 部署清单

1.3 工作流

OSSEC-Serv...

			
		

	





	

		

			

				
					
OSSEC与snort的连接实验

				
			

			

				

					可木的专栏
				

				

					10-27
					
					2444
					
				

			

		

		

			
				
OSSEC客户端首先要跟服务端建立连接。
OSSEC客户端的配置文件里面要添加
  
    C:\Snort\log\alertfull.ids 
    snort-full
  
其中,alertfull.ids是Snort产生的日志文件,好像必须为full模式的日志,fast模式实验没推送成功,同时,日志文件名不能有下划线 '_' ,不然也不能推送。
snort-full是日

			
		

	





	

		

			

				
					
ossec的新功能--预编译规则之二:预编译规则

				
			

			

				

					daosecurity的专栏
				

				

					03-06
					
					928
					
				

			

		

		

			
				
预编译规则根据上面的介绍,我们知道ossec有两种规则,其中解码器负责日志解码、分类,规则实现入侵检测和日志分析。想了解预编译规则能干什么,我们现看看ossec处理日志(以syslog为例)的基本处理流程:ossec-logcollector(源代码在src/logcollector)监控各种日志的变更,ossec支持syslog、mysql、postgresql、snort、

			
		

	





	

		

			

				
					
OSSEC的正则表达式语法

				
			

			

				

					可木的专栏
				

				

					03-07
					
					986
					
				

			

		

		

			
				
正则表达式语法 Regular Expression Syntax
http://www.ossec.net/doc/syntax/regex.html
目前OSSEC支持两种:

OR_Regex or regexOS_Match or sregex
1) OR_Regex or regex:C中简单快速的正则表达式库。
表达式 Supported expressions:
\w

			
		

	





	

		

			

				
					
ossec-agent

					
最新发布

				
			

			

				

					04-30
				

			

		

		

			
				
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行加密传输,通过先进的分析引擎进行检测异常操作和安全威胁,同时还可快速响应和阻止威胁。

OSSEC-Agent在监控和保护网络环境方面具有多种功能,包括入侵检测、实时警报、远程日志分析、漏扫、僵尸网络检测等。除此之外,通过与其它安全工具集成,OSSEC-Agent还能在不同安全应用之间进行数据共享和协作,提高系统的完整性和安全性。

OSSEC-Agent还可以实现事件处理和自动响应功能,自动执行操作来解决安全问题。同时,它还提供了Web前端界面,支持同时管理多个机器,并提供了全球多语言支持。这使得企业能够更好地控制数据安全,并确保敏感数据的保密性。

总而言之,OSSEC-Agent是一种强大的安全管理工具,可用于监控和保护网络服务器和工作站。它可以提供实时的安全警报、监控异常活动和网络入侵等功能,从而保证网络环境的完整性和安全性。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值