Насколько мне известно, OSSEC - это HIDS с открытым исходным кодом. Это «Система обнаружения».Я читал в журналах, он собирает журналы и помечает любую аномалию, которая была обнаружена в системе (например, Debian Server), и выполняет с ней какие-то действия.
В некоторых правилах OSSEC существует как возможный способ предотвратить аномалию при выполнении этого действия, например, предотвратить грубую силу, заблокировав IP на 600 секунд, если аутентификация не удалась 2 раза.
Мой вопрос: как OSSEC может справиться с уже распространяющимся вирусом? OSSEC похож на обнаружение аномалии и выполнение некоторых действий. Что мог бы сделать ossec, если бы это произошло. Есть ли какая-то логика, которую я могу поместить в правила ossec, которые отключают всю сеть, или есть другой способ? Возможно ли это?
У OSSEC есть опция под названием «активный ответ». Активный ответ будет зависеть от атаки и того, как вы хотите ее предотвратить (например, запрет по ip).
Вам необходимо прочитать об обнаружении вредоносных программ и руткитов. Также обратите внимание на модуль руткитов OSSEC. В основном существуют различные способы атаки или заражения системы, но OSSEC достаточно гибок, чтобы настраивать различные способы обнаружения проблем. Вы также можете посмотреть rkhunter, tripwire.