注意：以下操作需在OSSEC服務端進行設置 一、下載analogi，存放於/var/www/html/下並賦予權限 二、編輯db_ossec.php文件，修改MySQL的配置信息 三、修改 apache 配置，增加虛擬目錄 然后重新啟動 ...

OSSEC是一款開源的多平台的入侵檢測系統，可以運行於Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統中。主要功能有日志分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。 除了具有入侵檢測系統功能外，它還一般被用在SEM/SIM ...

上一篇文章中已經將OSSEC服務端的安裝以及客戶端的Key導出操作做了解說，接下來在另一台虛擬機中安裝客戶端，與安裝服務端類似同樣需要安裝ossec，步驟如下。 一、下載ossec-hids-2.8.3.tar.gz並解壓 二、安裝客戶端 具體的安裝過成略，當看到 ...

實驗聲明：本實驗教程僅供研究學習使用，請勿用於非法用途，違者一律自行承擔所有風險！ 實驗名稱 OSSEC安裝實驗 實驗原理 OSSEC是著名的基於主機的IDS系統，基於主機的IDS系統與基於網絡的IDS是兩個完全不同的系統，其工作原理是根據主機的表現，進行監控。 其有日志 ...

代理端 OSSEC有兩種代理端：可安裝的代理端和啞代理端（免安裝）。可安裝的代理端被安裝在主機上，通過OSSEC的加密協議將主機的信息發送到OSSEC服務器。亞代理端則不需在遠端主機進行安裝。他作為OSSEC管理端的進程存在，通過RPC（ssh或rdp、wmi）的方式收集遠端系統的信息。 代理 ...

告警分析分類： 規則類告警分析 情報類告警分析 日志hunting分析 報告編寫 1.規則類告警分析： mimikatz攻擊 檢測到后需要分析執行命令，是否存在以上特 ...

EDR架構及部署： 硬件：終端大數據分析平台 軟件：天擎客戶端、天擎控制台 授權：威脅情報 EDR數據采集及處理流程： 行為影響：終端進程、文件操作、注冊表修改、進程注入、賬戶變更、文件解壓 邊界傳輸：IM傳輸、瀏覽器傳輸、郵件附件、下載工具、U盤傳輸 網絡請求：IP訪問、DNS訪問 ...

以Docker為代表的容器技術，直接運行於宿主機操作系統內核，因此對於容器安全，很多人會有着這樣的疑問：EDR（Endpoint Detection and Response）等主機安全方案，能否直接解決容器安全的問題？針對這樣的疑問，本文將結合容器安全的建設思路，簡要分析其與EDR之間的一些異同 ...