ossec機能とpciコンプライアンスのためのsnort / tripwireの比較
Snort/tripwire/nessusと比較したossecの利点に関する情報に基づいた意見を探しています
したがって、誰かがossecがもたらす機能に光を当て、tripwire(またはiWatch)とsnortを介して複製することはできません。おそらく、nessusも使用されていますか?特にPCIコンプライアンスセクション10および11に関して。
さらに、snortなどのハイブリッドセットアップは、ossecに存在しない機能をもたらしますか?
これらすべての製品が同じことをしているわけではないので、これは公正な比較ではありません。
Snortは、ネットワーク侵入検知システムです。
ossecは、ホストベースのネットワーク侵入システムであり、tripwireやiWatchは、ファイル/ファイルシステム/システムの整合性を監視して変更や異常を検出します。
NessusはTenableの脆弱性スキャナーであり、ネットワークをスキャンし、可能な場所を認証し(そして資格情報が提供されている)、既知の脆弱性と大きな「フィード」に対する潜在的な設定ミスを探します。
私は投稿した他の人たちに同意します、彼らは異なる目標を念頭に置いています。あなたの主な質問はOSSECに関するもののようですので、私はあなたが主にある種の集中管理者を探していると思います。 OSSIMとプレリュードはその分野の他のオプションですが、OSSIMの方が少し良いと思います。
Snorbyは、Snortの管理とレポートに関して一見の価値があります。
このページは、ファイルシステムIDに関するものとして、(少し偏っていますが)良い読み物であることがわかりました。
私の知る限り、tripwireはOSSECが行うファイルシステムの変更を監視しています。ただし、OSSECはログも監視し、異常なアクティビティを識別して通知するためのルールの長いリストを持っています。このルールは簡単に定義できるため、独自のローカルルールを作成することもできます。
OSSECには、エージェントの構成とアクティビティを制御できる中央マネージャーがあります。
OSSECにはsnortのルールがあるため、それらを連鎖させ、OSSECを使用してsnortアラートをフィルタリングできます。
PCIモニタリングに関して、OSSECは自動化された方法でログを分析するのに役立ちます。