Rules do Ossec

eduardo
(usa Linux Mint)

Enviado em 16/01/2008 - 11:24h

Bom dia,

Estou configurando o Ossec HIDS mas já procurei em vários lugares como configurar as RULES dele, ou seja, o que ele deve analisar e quando enviar uma mensagem de alerta. Por exemplo, caso eu queira que ele me envie um alerta sempre que uma pessoa errar a senha três vezes, ou se um usuário tentar entrar em sites proibidos e for barrado várias vezes em um pequeno interalo de tempo. Essas explicações podem ser encontradas no manual do site oficial da Ossec, mas como é em inglês, e o formato das rules eu não entendo muito, fica difícil entender. Se alguém puder me dar alguma dica ou uma luz, pois preciso entender como funciona essas regras.

Um exemplo de uma regra dentro do arquivo squid_rules. xml é esse:

<rule id="35008" level="5">
<if_sid>35002</if_sid>
<id>^4</id>
<description>Squid 400 error code (request failed).</description>
</rule>

Preciso aprender isso o quanto antes, pois por Default, ele está configurado para enviar alertas sobre qualquer coisa e preciso configurar somente para casos importantes.


Uso o Fedora Core 3

Desde já agradeço.

eduardo
(usa Linux Mint)

Enviado em 16/01/2008 - 14:01h

Alguém ai?

giaco
(usa Debian)

Enviado em 08/02/2008 - 11:46h

Estou usando o OSSEC num Debian mais um agente no Windows 2000. Eu queria era desativar o agente do Debian, ou ao menos desligar algumas coisas.
Acho que o arquivo /var/ossec/etc/ossec.conf é o que controla essas coisas. Você tentou comentar alguma linha?

eduardo
(usa Linux Mint)

Enviado em 11/02/2008 - 08:11h

Na verdade no .conf é onde ficam as regras que serão lidas, e, entre outras coisas, uma regra que diz o level mínimo para aviso. O que eu preciso mesmo, é entender as rules, ou seja, os arquivos .xml que o Ossec lê.

Mas obrigado.
Realmente poucas pessoas usam esse software, ou sabem usá-lo.

Obrigado pela ajuda.