OSSIM下部署HIDS

大家好,又见面了,我是风君子。

OSSIM下部署HIDS

 

      OSSEC是OSSIM下的IDS之一,在系统中作为HIDS。通常如果你自己手动安装Ossec Server/Ossec Agent,很多精力花在安装部署和排错上,而且自己搭建分布式Ossec对你而言或许是个挑战。想把这种工作变的轻松些吗,下面视频为大家讲解如何通过WebUI中安装Ossec Agent。

 

视频地址:http://www.tudou.com/programs/view/rqSMyW29zMg

 

下面一段视频将向你展示,如何自动化部署Ossec Agent。

http://www.tudou.com/programs/view/NFAW5n1F98E 

 

多Agent管理实例

当HIDS-Agent安装完毕,还可以通过系统的消息中心查看日志。

wKioL1ZT7W_SQO5CAANcgm4z3kw532.jpgwKioL1ZT7W_SQO5CAANcgm4z3kw532.jpg

 

典型应用举例

面对黑客攻击,绝大多数人会被蒙在鼓里,除了重装系统恐怕没有更好的招数?下面就用OSSIM来为你终结这种情况。 

 

攻击过程-暴露踩点行为

 一般攻击者在实施之前都会要踩点,运用一些扫描工具来探测你的系统,其实在这个阶段你就能通过OSSIM发现这种行为。wKioL1Zb1kPyOgzYAAQwKvkSER0479.jpgwKioL1Zb1kPyOgzYAAQwKvkSER0479.jpg

之后,会不断尝试登录你的系统

wKioL1ZpMsXinQcbAAKA-dNPOME149.jpgwKioL1ZpMsXinQcbAAKA-dNPOME149.jpg

wKiom1ZpM3zCuJq6AAR_n_CK6l4482.jpgwKiom1ZpM3zCuJq6AAR_n_CK6l4482.jpg

提权并获得root权限后,攻击者很可能你的系统中植入了木马,便于下次光临。同时会增加用户或组并分配权限… …此时Sensor发飚系统会发出“File added to the system”报警。

wKiom1ZpMASj91EBAAX2fqLiiiI899.jpgwKiom1ZpMASj91EBAAX2fqLiiiI899.jpg

wKioL1ZpMHqAAPZIAAJ5r0M-P64037.jpgwKioL1ZpMHqAAPZIAAJ5r0M-P64037.jpg

 wKioL1ZpOxajWfBlAAFum9HxgB0805.jpgwKioL1ZpOxajWfBlAAFum9HxgB0805.jpg

 

其他 : 对于Exploit、SQL Injection、WebShellAttack攻击可通过IDS发现并报警,OSSIM实例,下回分解。

 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1716320,如需转载请自行联系原作者

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注