Importer des règles de sécurité OSSEC
OSSEC est un détecteur d'intrusion sur machine hôte ou HIDS (Host-based Intrusion Detection System). Il comprend un module de surveillance et analyse de logs. Pour plus d'informations, reportez-vous au site web OSSEC.
SES Evolution est doté d’un moteur d’analyse de principe similaire, qui permet de surveiller en temps réel :
- Des fichiers de logs d’applications tierces,
- Des événements Windows (dans les journaux d’événements).
Cette surveillance a pour but d’extraire des informations dans les événements et les lignes de log sur les agents SES Evolution, de les classifier pour repérer des activités anormales ou suspectes et générer des alertes.
EXEMPLE
Vous pouvez surveiller les authentifications par mot de passe sur un serveur FileZilla qui proviennent de la même adresse IP, et lever des alertes en cas d'échecs multiples suivis d'un succès.
NOTE
Les options de l’analyse OSSEC ne seront pas détaillées dans ce document. Veuillez vous référer à la documentation OSSEC.
Il existe des différences entre le moteur d'analyse Stormshield et OSSEC :
- OSSEC collecte les logs sur les agents et les analyse sur le serveur alors que SES Evolution fait l’analyse sur chaque agent. Il n’est donc pas possible de corréler des événements de même nature se produisant sur des agents distincts.
- Contrairement à OSSEC, SES Evolution ne permet pas de compiler des décodeurs et des règles personnalisées. En revanche la règle is_simple_http_request, fournie à titre d’exemple par OSSEC mais utilisée en standard, est supportée par SES Evolution.
Pour plus d'informations sur toutes les fonctions OSSEC supportées par SES Evolution, reportez-vous à la section Connaître les fonctions OSSEC supportées