ossec变更alert等级及配置邮件预警

最新推荐文章于 2022-03-20 21:11:59 发布
最新推荐文章于 2022-03-20 21:11:59 发布
阅读量216 收藏 1
点赞数
文章标签: 运维

一、场景

  当攻击者尝试使用字典对某一台主机的sshd服务进行暴力破解的时候,如果我们能第一时间受到攻击预警的邮件的话,对安全人员或者运维人员来说都能做出快速响应。而使用ossec恰巧可以完成这一工作,但是要做些配置修改。

 

二、条件

  设置邮件预警的前提是你的ossec server安装了邮件服务器,用的比较多的是sendmail,安装好sendmail后

通过配置/etc/aliases即可完成将发送到root的邮件自动转发到其他外部你想转发的邮件服务器。

  • 安装sendmail
  • 确认/etc/aliases文件,在末尾添加一行要接收的邮件记录:root: pentest@163.com
  • 刷新 newaliases

三、操作步骤

1. 确认暴力破解sshd服务时的日志特征为“SSHD authentication failed”,有的时候也可能是“SSH insecure connection attempt (scan)."具体是哪个最好实际的尝试攻击一下,找出最准确的日志特征。

  2. 进入ossec规则库目录,寻找有关sshd的规则文件

 3. 编辑sshd_rules.xml文件,找到特征为“SSHD authentication failed”的规则块,然后变更level级别为邮件最低预警级别。

4. 邮件预警级别的确认

# vim /var/ossec/etc/ossec.conf

 5. 以上配置后,即可即时受到预警邮件。

注意事项:如果以上配置后不起作用重启一下ossec服务尝试一下。

 

weixin_34247155
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ossec2.8.1
02-22
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、...
OSSEC主要功能及原理+详细配置+日志文件分析
热门推荐
AlexTan_的博客
07-31 3万+
作者:谭丙章 E-mail:[email protected]SSEC主要功能及原理OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC是一个非常典型的主机型入侵检 测
ossec配置邮箱接收邮件和添加数据库信息
breader_2003的博客
08-05 352
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3145
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的记录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
wazuh 服务器--功能特点
Devour_的博客
10-23 1347
wazuh 服务器 Wazuh管理器是分析从所有注册代理接收到的数据的系统,当事件符合规则时触发警报,例如:检测到入侵、文件修改、配置不符合策略、可能的rootkit,等等。manager还作为本地机器上的代理进行操作,因此它具有代理所具有的所有特性。此外,管理员还可以通过系统日志、电子邮件或集成的外部api转发它所触发的警报。 远程服务器:<remote> 可以配置Wazuh管理器来发布代理使用的远程服务,如下所示: 远程服务的所有配置都是通过使用< remote &gt.
ossec_wui web管理
02-22
ossec入侵检测搭建部署,第三方web管理ossec-wui0.9版本
ansible-ossec-server:为RedHatDebianUbuntu安装和维护ossec服务器
05-24
ansible-ossec服务器该角色将在主机上安装ossec服务器。 生成状态:要求该角色将在以下方面工作: 红色的帽子德比安的Ubuntu 亚马逊Linux(2) 因此,您将需要其中一种操作系统.. :-)角色变量该角色具有一些您可以...
ossec-hids-3.6.0 源码
03-28
ossec官方源码,3.6.0最新版本,编译后用于安装linux下的server和agent,方便部署,可本地自行编译成多平台的可执行程序
ansible-role-ossec-agent:安装和配置ossec-agent的角色
05-01
ansible-ossec-agent Ansible角色,用于安装和配置OSSEC HIDS代理。 要求 Ansible 2.9.9或更高
ossec 修改sendmail.c源码发送邮件
fudali133的博客
08-11 1199
因为公司需求在部署ossec是发现不能收到报警邮件,查看log提示信息也是非常的少,经过查看一些博客,文档发现ossec发送邮件是不想邮箱服务器发送验证信息的,所以我们常用的邮箱基本都会当做垃圾邮件或者直接拒收。 所以查看了wianm’s blog, 他的代码是:/* Return codes (from SMTP server) */ #define VALIDBANNER "220" #de
OSSEC文档——输出及告警配置
c1052981766的专栏
02-28 2176
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/output/index.html输出及告警配置 OSSEC包含许多向其他系统或应用程序发送警报的方法。Syslog、电子邮件和向SQL数据库发送警报是典型的方法。这些输出方法只发送警报,而不是完整的日志数据。由于代理不生成警报,所以这些选项仅是服务器端。 通过syslog发送警报 Sysl...
ossec study-4:如何设置将ossec的警告邮件从root(root@localhost)发给自己的邮箱(如gmail邮箱)
云里雾里的专栏
12-02 6466
:之前在安装的时候,我们采用的是将alert发给本地,当时的邮箱名为:root@localhostStmp:127.0.0.1.有一个向导提到配置/etc/aliases就可以完成将发送到root的邮件转发到其他外部邮件服务器。方法很简单:1. 安装sendmail apt-get install sendmail2. 按照很多说明,此时就可以使用mail命令了,但是我使用时ubuntu还是出现了问题,让我安装新的安装包3. 我也不知看了那一个说明了:apt-get install mailx但是提示我有三
OSSEC直接向GMAIL发送alert的配制方法
可木的专栏
03-07 2159
按照mannul的介绍,直接在ossec.conf中配置如下: yes [email protected] smtp.gmail.com ossec@jack-ubuntu-desktop 1 1 可是gmail收不到任何alert邮件。 按照josay的方法,将alert邮件发给本地root,http://blog.csdn.net/jo_say/arti
OSSEC文档——规则分类(级别)
c1052981766的专栏
02-28 1726
翻译:http://ossec-docs.readthedocs.io/en/latest/manual/rules-decoders/rule-levels.html规则分类(级别) 这些规则被分为多个级别。从最低的(00)到最大的15。有些级别现在还没有使用。其他级别可以在它们之间或之后添加。 这些规则将从最高到最低的级别进行读取。 00 - 忽略 - 没有采取行动。用于避免误报。这些规则在其...
ossec规则设置,以及常规问题释疑
weixin_34414196的博客
10-10 653
规则 Syscheck是OSSEC内部完整性检测进程的名称。它周期性检查是否有任何配置文件(或者windows注册表)发生改变。 配置文件地址为 [root@logserver etc]# pwd /var/ossec/etc [root@logserver etc]# vim ossec.conf 它的工作方法是:“代理每几个小时扫描一次系统...
开源入侵检测系统OSSEC的搭建及使用
东方欲晓的晓东的博客
07-08 4470
环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz tar -xzvf 2.9.4.tar.gz ...
OSSEC搭建部署(ossec-server(CentOS7.X)和ossec-agent(CentOS7.X))
weixin_44304678的博客
03-20 9219
OSSEC是一款开源的基于主机的入侵检测系统,可以简称为HIDS。它具备日志分析,文件完整性检查,策略监控,rootkit检测,实时报警以及联动响应等功能。它支持多种操作系统:Linux、Windows、MacOS、Solaris、HP-UX、AIX。属于企业安全之利器。 环境: 两台centos 7虚拟机 服务端:192.168.1.160 客户端:192.168.1.165 第一步: 前提环境准备(在ossec-server端) 关闭selinux,找到SELINUX这一行,修改为disabled [r
SMTP邮件发送失败原因
qq_37034181的博客
04-16 5116
使用端口25提示端口连接失败 使用端口465提示连接超时 使用端口587发送成功
OSSEC HIDS安装部署
最新发布
09-09
OSSEC HIDS(Host Intrusion Detection System)是一种用于监测和防御主机的入侵的软件。它可以通过分析日志、检测文件完整性、检测Rootkit等功能来保护主机的安全。 要安装和部署OSSEC HIDS,你可以按照以下步骤进行操作: 1. 下载OSSEC HIDS软件包并解压缩。 2. 进入解压后的目录,并执行安装脚本。 3. 根据提示完成软件的安装过程。 4. 安装完成后,可以使用以下命令启动和停止OSSEC HIDS: - 启动OSSEC HIDS:/var/ossec/bin/ossec-control start - 停止OSSEC HIDS:/var/ossec/bin/ossec-control stop 5. 要查看或修改OSSEC HIDS的配置,可以编辑配置文件/var/ossec/etc/ossec.conf。 6. 部署完成后,你还可以将其他监控项集成到OSSEC HIDS中,以满足自己的需求。 如果在安装和使用OSSEC HIDS的过程中遇到任何问题,你可以访问https://github.com/ossec/ossec-hids 或者使用他们的公共邮件列表https://groups.google.com/forum/#!forum/ossec-list 寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值