Importer des règles de sécurité OSSEC

OSSEC est un détecteur d'intrusion sur machine hôte ou HIDS (Host-based Intrusion Detection System). Il comprend un module de surveillance et analyse de logs. Pour plus d'informations, reportez-vous au site web OSSEC.

SES Evolution est doté d’un moteur d’analyse de principe similaire, qui permet de surveiller en temps réel :

  • Des fichiers de logs d’applications tierces,
  • Des événements Windows (dans les journaux d’événements).

Cette surveillance a pour but d’extraire des informations dans les événements et les lignes de log sur les agents SES Evolution, de les classifier pour repérer des activités anormales ou suspectes et générer des alertes.

EXEMPLE
Vous pouvez surveiller les authentifications par mot de passe sur un serveur FileZilla qui proviennent de la même adresse IP, et lever des alertes en cas d'échecs multiples suivis d'un succès.

NOTE
Les options de l’analyse OSSEC ne seront pas détaillées dans ce document. Veuillez vous référer à la documentation OSSEC.