初次接触OSSEC

OSSEC是一款开源的系统监控平台。它集成了HIDS（主机入侵检测）、日志监控、安全事件管理（SIM）、安全信息和事件管理（SIEM）于一身，结构简单、功能强大的开源解决方案。

主要优点

满足合规性

OSSEC可以帮助你满足诸如PCI、HIPAA之类的监管要求。它通过对应用及系统日志的分析，发现一些恶意行为，诸如未经授权的文件系统更改等。例如对于PCI来说，要求对文件完整性进行监测（PCI11.5,10.5）,日志的检测和分析（pci 10）,配置项的强化及检查，OSSEC均可发挥一定的作用

平台兼容性

OSSEC提供对Linux、Solaris、Windows、Mac OS X等平台支持。同时，针对不同的应用、服务设置了详细的入侵检测策略，提供了广泛的兼容性。

实时可配置的告警

OSSEC可通过配置突出用户关注的告警，允许用户通过调整告警级别，从一般的告警噪声中区分出严重的安全事件。通过集成具备e-mail接口的 SMTP、sms、syslog设备，可使用户轻松接收到告警信息。除此之外，还可通过开启主动反应功能，来快速阻止攻击行为。

与现有设施的集成

OSSEC可以用户现有的SIM/SEM（Security Incident Mananement/Security Events Management）系统很好的集成到一起,从而为用户提供事件关联分析和集成的安全分析报告。

集中化管控

OSSEC提供方便的、集中化的跨平台的策略管控功能，同时，用户有可针对个别服务器提供定制化的防护策略。

代理和无代理监控

OSSEC既可以提供基于代理的操作系统监控，也可针对路由器、防火墙等设备提供无代理型监控。无代理监控可以帮助用户在软件安装被严格管控的情景下，仍能满足安全和符合性需求。

主要特征

文件完整性检验

针对您的网络和系统的攻击有一个共性特点：它们一定会变更您的系统。文件完整性检测的目标（或者称之为FIM- file integrity monitoring文件完整性监测）是检测到这些变更行为，并及时告警。这样，当发生诸如攻击、员工的权限滥用、管理员的误操作，任何文件、目录、注册表的变更都会及时的以告警的形式通知到您。

满足PCI DSS 11.5、10.5.5

日志监控

当你的操作系统想向你倾诉的时候，你是否知道怎么去倾听吗？网络中的操作系统、应用、设备均以日志的形式记录下正在发生的事情。OSSEC收集、分析并关联这些日志，然后提醒您网络中正在发生什么可疑的事情，攻击、操作失误、错误或其他的事件。你是否想知道终端又安装了什么应用？或是有人调整了防火墙策略？通过监控日志，你想知道的事情，OSSEC全部会告诉你。

满足PCI DSS 10

Rootkit 检测

怀有恶意的黑客总是想隐藏他们的行为，但通过rootkit检测，可以发现系统发生了rootkit类的攻击行为。

主动防御

主动防御可以再某个alert发生时，立即采取防御措施。这样，在管理员介入之前可以有效的防止攻击行为在网络中蔓延。

巴特西