我正在寻找一个关于ossec与snort / tripwire / nessus相比的优点的见解
因此,任何人都可以透露ossec带来的特性,通过tripwire(或iwatch)和snort复制,或许也可以使用nessus? 与PCI合规第10和11部分相关。
此外,snort等混合设置会带来ossec中不存在的任何function吗?
这不是一个公平的比较,因为不是所有这些产品都在做同样的事情。
Snort是一个networking入侵检测系统。
ossec是一个基于主机的networking入侵系统,就像tripwire和iwatch一样,它们监视文件/文件系统/系统完整性的变化和exception情况。
Nessus是Tenable的漏洞扫描器,它扫描networking,validation它可以(并已提供证书)的位置,寻找已知的漏洞和可能的错误configuration来应对大型的“feed”。
我同意已发布的其他人,他们有不同的目标。 由于你的主要问题似乎是关于OSSEC,我认为你主要是寻找一个集中的经理。 OSSIM和Prelude是该领域的其他选项,但我认为OSSIM稍微好一些。
OSSIM〜 前奏
Snorby值得关注Snort的pipe理和报告。
Snorby
我发现这个页面是一个(虽然稍有偏见)好的阅读至于文件系统ID的问题。
几个主机/文件完整性监控程序的比较
据我所知,tripwire监视OSSEC所做的文件系统更改。 但OSSEC也会logging日志,并且有一长串的规则来识别和通知exception活动。 这个规则很容易定义,所以你也可以有自己的本地规则。
OSSEC有一个中央pipe理器,您可以控制代理的configuration和活动。
OSSEC有snort的规则,所以你可以把它们连在一起,并使用OSSEC来通过snort警报进行过滤。
关于PCI监视,OSSEC可以帮助自动分析日志。