注意：以下操作需在OSSEC服务端进行设置 一、下载analogi，存放于/var/www/html/下并赋予权限 二、编辑db_ossec.php文件，修改MySQL的配置信息 三、修改 apache 配置，增加虚拟目录 然后重新启动 ...

OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。 除了具有入侵检测系统功能外，它还一般被用在SEM/SIM ...

上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说，接下来在另一台虚拟机中安装客户端，与安装服务端类似同样需要安装ossec，步骤如下。 一、下载ossec-hids-2.8.3.tar.gz并解压 二、安装客户端 具体的安装过成略，当看到 ...

实验声明：本实验教程仅供研究学习使用，请勿用于非法用途，违者一律自行承担所有风险！ 实验名称 OSSEC安装实验 实验原理 OSSEC是著名的基于主机的IDS系统，基于主机的IDS系统与基于网络的IDS是两个完全不同的系统，其工作原理是根据主机的表现，进行监控。 其有日志 ...

代理端 OSSEC有两种代理端：可安装的代理端和哑代理端（免安装）。可安装的代理端被安装在主机上，通过OSSEC的加密协议将主机的信息发送到OSSEC服务器。亚代理端则不需在远端主机进行安装。他作为OSSEC管理端的进程存在，通过RPC（ssh或rdp、wmi）的方式收集远端系统的信息。 代理 ...

告警分析分类： 规则类告警分析 情报类告警分析 日志hunting分析 报告编写 1.规则类告警分析： mimikatz攻击 检测到后需要分析执行命令，是否存在以上特 ...

EDR架构及部署： 硬件：终端大数据分析平台 软件：天擎客户端、天擎控制台 授权：威胁情报 EDR数据采集及处理流程： 行为影响：终端进程、文件操作、注册表修改、进程注入、账户变更、文件解压 边界传输：IM传输、浏览器传输、邮件附件、下载工具、U盘传输 网络请求：IP访问、DNS访问 ...

以Docker为代表的容器技术，直接运行于宿主机操作系统内核，因此对于容器安全，很多人会有着这样的疑问：EDR（Endpoint Detection and Response）等主机安全方案，能否直接解决容器安全的问题？针对这样的疑问，本文将结合容器安全的建设思路，简要分析其与EDR之间的一些异同 ...