Por lo que sé, OSSEC es un HIDS de código abierto. Es un "sistema de detección". Leo en revistas, recopila registros y marca cualquier anomalía que se haya encontrado en un sistema (por ejemplo, Debian Server) y hago algo de acción con él.
Algunas de las reglas de OSSEC, hay como una forma posible de prevenir la anomalía para realizar acciones como, evitar la fuerza bruta mediante el bloqueo de una IP durante 600 segundos si la autenticación falla 2 veces.
¿Hay alguna regla o algún comando de respuesta activa que impida que algunos virus o anomalías se propaguen, infecten y aplasten nuestro sistema? ¿Hay alguna demostración con respecto a esa condición? ¿Dónde puedo encontrarlo?
Lo que he intentado es como bloquear una ip para un ataque de fuerza bruta (FTP, SSH), pero ¿qué pasa si el hacker está en alguna condición podría evitar que las reglas ossec bloqueen la ip, y él comenzó a difundir algunos archivos / documentos no deseados? conocido como virus? ¿Hay alguna imagen o demostración sobre eso?
Mi pregunta, ¿Cómo puede OSSEC manejar un virus que ya se está propagando? OSSEC es como detectar la anomalía y hacer algo de acción. ¿Es posible?