ossec的新功能--预编译规则之二:预编译规则

最新推荐文章于 2021-01-19 11:41:01 发布
最新推荐文章于 2021-01-19 11:41:01 发布
阅读量953 收藏 1
点赞数
分类专栏: security 文章标签: postgresql variables delete mysql os command
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daosecurity/article/details/3962397
版权
ossec通过ossec-logcollector监控多种日志,如syslog、mysql、postgresql等,并使用预编译规则进行入侵检测。Eventinfo是其核心对象,经历预处理、解码和检测阶段。预编译规则位于src/analysisd/compiled_rules目录,允许用户自定义功能并使用register_rule.sh脚本进行编译安装。
摘要由CSDN通过智能技术生成

预编译规则

根据上面的介绍,我们知道ossec有两种规则,其中解码器负责日志解码、分类,规则实现入侵检测和日志分析。想了解预编译规则能干什么,我们现看看ossec处理日志(以syslog为例)的基本处理流程:

  1. ossec-logcollector(源代码在src/logcollector)监控各种日志的变更,ossec支持syslog、mysql、postgresql、snort、nmap,以及djbmultilog等日志;
  2. 一旦发现日志变动,就读取信产生的日志,根据日志类型的不同,分别调用read_syslog、read_djbmultilog、 read_nmapg、read_mysql_log、read_snortfull、read_postgresql_log等函数进行处理。在这里我 们只关注syslog的处理。
  3. read_syslog读取日志条目,调用SendMSG向analysisd(源代码在src/analysisd)投递。在ossec启动时,analysisd会打开一个UNIX套接字,接收事件日志,进行分析处理。
  4. ossec-analysisd调用OS_ReadMSG_analysisd函数接收事件信息,然后调用OS_CleanMSG将收到的数据转换为Eventinfo结构。

Eventinfo

我们先看一下Eventinfo: 

typedef struct _Eventinfo
{
   
    /* 从事件信息中提取的数据 */
    char *
最低0.47元/天 解锁文章
daosecurity
关注
专栏目录
ossec的功能--预编译规则之一:ossec的规则
daosecurity的专栏
03-05 2376
OSSEC的预编译规则(CompiledRules)为了方便不喜欢编写xml格式规则的用户。利用这项功能,用户可以直接使用c语言来编写日志处理规则,在编译的时候,连接到analysisd程序。并非一种动态的规则扩展机制。为了了解预编译规则,我们先看一下ossec的规则定义。1. ossec的规则 ossec的规则是XML格式的,主要有两种:解码规则:用于判断日志的种类和格式,所有的
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 724
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
ossec-sysmon:使用Sysmon增强Ossec检测功能规则
05-05
ossec-sysmon 使用Sysmon增强Ossec检测功能规则集 请参阅以下文章,以了解此规则集如何帮助您检测Emotet和其他恶意文档恶意软件。 0805-sysmon-modular规则由olafhartong映射到Sysmon配置,并标记为MITER ATT&CK框架。 您可以在以下链接中找到它。
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1794
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
OSSEC文档——规则和解码器
c1052981766的专栏
02-28 707
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/index.html规则和解码器 测试OSSEC规则/解码器 使用ossec-logtest测试 CDB从内部规则中查找查询 用例 语法列表 创建自定义解码器和规则 添加要监视的文件 创建一个定制的解码器 规则和解码器的目录路径加载 用例 细节 规则...
ossec-hids-3.6.0 源码
03-28
**二、源码编译与安装** 1. **环境准备**:在编译源码之前,确保系统安装了必要的构建工具,如GCC编译器、Make、autoconf、automake等。另外,根据目标平台的不同,可能还需要其他特定库。 2. **解压源码**:使用`...
ossec-hids-2.8.2.zip
06-22
为了确保最佳的保护效果,使用OSSEC时,应定期更规则库,以应对的威胁和漏洞。此外,理解和解读OSSEC产生的警报至关重要,因为误报或漏报都可能导致安全问题。最后,配合NIDS和其他安全工具一起使用,可以构建...
ossec-docs:OSSEC文档
05-03
2. **配置OSSEC**:配置文件(如`ossec.conf`)用于设定监控规则、警报阈值和通知方式。 3. **启动与管理**:启动OSSEC守护进程,监控系统活动,使用命令行工具或Web界面进行管理。 4. **日志分析**:理解OSSEC的...
OSSEC文档——创建自定义解码器和规则
c1052981766的专栏
02-28 1519
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-lists.html创建自定义解码器和规则 OSSEC的主要特性之一是监视系统和应用程序日志。许多流行的服务都已配有有日志和解码器,但是有数百个没有被覆盖。定制的应用程序和服务也不会被覆盖。OSSEC为服务添加解码器和规则通常非常简单。 添加要监视的文件...
OSSEC文档——规则和解码器的目录路径加载
c1052981766的专栏
02-28 667
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule_decoder_dir.html规则和解码器的目录路径加载 允许将文件的整个目录作为解码器、列表或规则加载到ossec-anaylistd中。 用例: 可以极大地简化使用解码器的工作,因为可以有尽可能多的文件。此外,还将对规则和解码器进行打包,使其成为...
风行:入侵检测系统ossec整合
01-12
2012年12月21-22日,由杭州安恒信息技术有限公司与人人网联合主办2012(首届)互联网安全高峰论坛成功举办,本届高峰论坛的主题为“末日安全 & 人人安恒”。本届论坛主要内容将围绕WEB应用防护的技术体系建设和产品服务创,尤其针对互联网重要基础行业应用展开讨论,打造安全体系方舟迎接末日安全。
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最信息。 最发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
ossec的功能--预编译规则之三:评价
daosecurity的专栏
03-06 811
对预处理规则的评价 插件化是很多开源软件采取的,非常流行的扩展方式,例如: apache:采用动态共享对象的方式,提供扩展;利用Apache扩展工具(apxs),可以无需重编译apache,即可加入apache插件; nessus:nessus自创了一种叫做nasl的脚本语言来实现差价的扩展,由于其功能的局限,这种语言较受争议; nmap:通过NSE(Nmap Script
OSSEC文档——日志监控/分析
c1052981766的专栏
02-28 3338
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/monitoring/index.html日志监控/分析 日志分析(或日志检查)由日志收集和分析过程在OSSEC中完成。第一个收集事件,第二个进行分析(解码、筛选和分类)。 它是实时完成的,因此一旦事件被编写,OSSEC就会处理它们。OSSEC可以从内部日志文件中读取事件,从Windows事件...
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3435
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
ossec-logcollector bug
dengzhaoqun的专栏
01-14 1207
现象: 一个文件监控一段时间(10分钟左右)后, 会忽略掉而不监控. 2014/01/10 18:50:11 ossec-logcollector(1950): INFO: Analyzing file: '/var/ossec/logs/alerts/alerts.log'. 2014/01/10 18:50:11 ossec-logcollector: INFO: Star
开源EDR(OSSEC)基础篇- 01 -设计定位与能力输出
weixin_34391854的博客
12-28 1436
前言 介绍OSSEC之前,不得不提到当前比较热门的技术EDR,近几年随着大数据SIEM系统的发展,EDR(端点威胁检测与响应)技术成为了安全界万众宠爱的骄子,广泛用于威胁检测、攻击溯源和响应处理的安全场景。 而OSSEC是一款开源的跨平台的准EDR入侵检测响应系统,可以实现商业EDR 大部分的功能,可以说OSSEC是所有EDR商业产品的原型,发展至今已经...
ossec-agent
最新发布
04-30
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行加密传输,通过先进的分析引擎进行检测异常操作和安全威胁,同时还可快速响应和阻止威胁。 OSSEC-Agent在监控和保护网络环境方面具有多种功能,包括入侵检测、实时警报、远程日志分析、漏扫、僵尸网络检测等。除此之外,通过与其它安全工具集成,OSSEC-Agent还能在不同安全应用之间进行数据共享和协作,提高系统的完整性和安全性。 OSSEC-Agent还可以实现事件处理和自动响应功能,自动执行操作来解决安全问题。同时,它还提供了Web前端界面,支持同时管理多个机器,并提供了全球多语言支持。这使得企业能够更好地控制数据安全,并确保敏感数据的保密性。 总而言之,OSSEC-Agent是一种强大的安全管理工具,可用于监控和保护网络服务器和工作站。它可以提供实时的安全警报、监控异常活动和网络入侵等功能,从而保证网络环境的完整性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值