OSSEC文件 規則分類(級別)

2021-08-15 21:51:33 字數 1440 閱讀 4552

翻譯:

規則分類(級別)

這些規則被分為多個級別。從最低的(00)到最大的15。有些級別現在還沒有使用。其他級別可以在它們之間或之後新增。

這些規則將從最高到最低的級別進行讀取。

00 - 忽略 - 沒有採取行動。用於避免誤報。這些規則在其他所有的規則之前被掃瞄。它們包括沒有安全相關性的事件。

01 - 無 -

02 - 系統低優先順序通知 - 系統通知或狀態訊息。它們沒有安全關聯。

03 - 成功/授權事件 - 包括成功的登入嘗試,防火牆允許事件等等。

04 - 系統低優先順序錯誤 - 錯誤配置或未使用裝置/應用程式的錯誤。它們與安全性無關,通常是由預設安裝或軟體測試引起的。

05 - 使用者生成的錯誤 - 它們包括未被使用的密碼,被拒絕的行為等等,它們本身並沒有安全關聯.

06 - 攻擊低的相關性 - 它們指出了乙個蠕蟲或病毒對系統沒有任何影響(比如apache伺服器的紅色**等等)。它們還包括頻繁的ids事件和頻繁的錯誤。

07 - 「壞詞」匹配. 這些事件包括「壞」、「錯誤」等,這些事件大部分時間都是不保密的,可能與安全有關。

08 - 首次遇見 - 包括第一次看到的事件。第一次啟動ids事件,或者第一次使用者登入。如果您剛剛開始使用ossec hids,這些訊息可能會頻繁出現。在一段時間之後,他們應該離開,它還包含了安全相關的操作(比如嗅探器的啟動或類似的操作)。

09 - 錯誤無效的** - 包括嘗試以未知使用者身份登入或從無效源登入。可能有安全相關性(特別是重複的)。它們還包括關於「admin」(root)帳戶的錯誤。

10 - 多個使用者生成的錯誤 - 它們包括多個糟糕的密碼、多次失敗的登入等等。它們可能表明了攻擊,或者可能只是使用者忘記了他的credencials。

11 - 完整性檢查的警告 - 它們包括關於二進位制檔案的修改或rootkit(由rootcheck)的存在的訊息。如果您只是修改了系統配置,那麼您關注完整性檢查。它們可能預示著一次成功的攻擊。還包括將被忽略的ids事件(大量重複的事件)。

12 - 高重要性的事件 - 它們包括來自系統、核心等的錯誤或警告訊息,它們可能指示針對某個特定應用程式的攻擊。

13 - 不尋常的錯誤(非常重要) - 大多數情況下,它與常見的攻擊模式相匹配。

14 - 高度重視安全事件。大多數時候都是用相關性做的,這表明了攻擊。

15 - 嚴重的攻擊 - 沒有誤報的機會。及時關注是必要的。

規則組我們可以為特定的規則指定組。它被用於積極響應的原因和相關性。

我們目前已有的規則組:

invalid_login

authentication_success

authentication_failed

connection_attempt

attacks

adduser

sshd

idsfirewall

squid

apache

syslog

OSSEC文件 測試OSSEC規則 解碼器

翻譯 測試ossec規則 解碼器 大多數人在解決ossec或嘗試編寫新規則和解碼時的第乙個問題是如何測試它們。在過去,這需要手動重新啟動ossec,或者建立乙個測試安裝。在版本1.6中,有乙個工具可以簡化這個任務 ossec logtest 使用ossec logtest測試 工具ossec log...

OSSEC文件 OSSEC安裝

翻譯 ossec安裝 安裝要求 ubuntu redhat debian 管理 安裝 windows 安裝 ossec只支援windows系統作為 並且需要ossec伺服器來執行。二進位制安裝 在第二個伺服器上編譯ossec 二進位制ossec包的安裝 伺服器虛擬裝置安裝 概述賬戶和密碼 將ovf轉...

OSSEC文件 OSSEC自動安裝

翻譯 ossec有能力編譯和安裝,而不需要安裝。sh的互動。安裝指令碼可以從etc preloaded vars中收集問題的答案。conf配置檔案。安裝程式要求的大多數問題都出現在配置檔案中,以及預設的答案。取消對每個變數的注釋將允許指令碼知道答案。預設安裝的任何更改都應該在配置檔案中進行。如果us...