我正在寻找有关 ossec 与 snort/tripwire/nessus 相比的优势的明智意见
因此,有谁能解释一下 ossec 的哪些功能无法通过 tripwire (或 iwatch) 和 snort 复制,也许 nessus 也可以使用?部分涉及 PCI 合规性第 10 和 11 节。
此外,snort 等混合设置是否会带来 ossec 中不存在的任何功能?
答案1
这不是一个公平的比较,因为并非所有这些产品都具有相同的功能。
Snort 是一个网络入侵检测系统。
ossec 是一个基于主机的网络入侵系统,与 tripwire 和 iwatch 一样,它们监控文件/文件系统/系统完整性的变化和异常。
Nessus 是 Tenable 的漏洞扫描程序,它通过网络进行扫描,在可以进行身份验证的地方(并已提供凭据)进行身份验证,针对大量“信息源”寻找已知漏洞和潜在的错误配置。
答案2
我同意其他发帖人的观点,他们有不同的目标。由于您的主要问题似乎是关于 OSSEC 的,我猜您主要是在寻找某种集中式管理器。OSSIM 和 Prelude 是该领域的其他选择,尽管我认为 OSSIM 更好一些。
就 Snort 管理和报告而言,Snorby 值得一看。
我发现这个页面(虽然稍微有点偏见)对于文件系统 ID 来说还是值得一读的。
答案3
据我所知,tripwire 会监视文件系统更改,OSSEC 也会这样做。但 OSSEC 还会监视日志,并且有一系列规则来识别和通知异常活动。这些规则很容易定义,因此您也可以拥有自己的本地规则。
OSSEC 有一个中央管理器,您可以在其中控制代理的配置和活动。
OSSEC 有针对 snort 的规则,因此您可以将它们链在一起并使用 OSSEC 来过滤 snort 警报。
关于 PCI 监控,OSSEC 可以帮助以自动化方式分析日志。