Preguntas con etiqueta 'hids'

2
respuestas

HIDS - Elegir entre OSSEC regular o la horquilla Wazuh

Tengo la intención de configurar OSSEC y noté que parece haber dos sabores principales: simple OSSEC y Wazuh . De lo que he podido recopilar (del de Wazuh y documentación ), las principales ventajas de Wazuh son: su capacidad de inte...
hecha 27.01.2017 - 12:32
3
respuestas

¿Qué archivos de Windows deben ser monitoreados por HIDS?

Resalté mi pregunta a continuación. Aquí hay algunos antecedentes. Es fácil encontrar datos que muestren los archivos binarios y de configuración de Linux más troyanos / modificados. ps, ls, find, kill, lsof, passwd, shadow, syslog.conf, etc....
hecha 08.02.2015 - 18:47
1
respuesta

Silenciar las alertas de comprobación de root de OSSEC

Estoy intentando silenciar algunas alertas de comprobación de raíz OSSEC como estas: - ** Alert 1456448991.70239: mail - ossec,rootcheck, 2016 Feb 26 01:09:51 myhost->rootcheck Rule: 519 (level 7) -> 'System Audit: Vulnerable web applic...
hecha 26.02.2016 - 03:42
1
respuesta

¿Se puede configurar Snort como HIDS?

Necesito dar una presentación sobre Snort y la auditoría de seguridad. Recientemente he aprendido a configurar Snort como NIDS. Quiero saber, ¿hay alguna manera de configurar Snort como HIDS? Si estoy actualizando la variable HOME_NET a mi IP, r...
hecha 04.04.2015 - 19:33
1
respuesta

¿Escapa de la detección de intrusión de tipo Virtualbox?

¿Hay alguna forma de ejecutar la detección de intrusos si algo intenta escapar de Virtualbox? Gracias.     
hecha 25.03.2017 - 00:49
2
respuestas

¿OSSEC puede detectar ataques de desbordamiento de búfer?

Estoy tratando de detectar un desbordamiento de búfer usando OSSEC (un software HIDS) como se menciona en Ejemplo de reglas OSSEC y . ¿Cómo puedo configurar OSSEC para detectar un ejemplo simple de desbordamiento de búfer de la siguiente ma...
hecha 22.05.2017 - 12:47
1
respuesta

Tap-mode IPS vs IDS

Es mi entendimiento que el modo tap IPS, a diferencia del modo en línea, es pasivo y no puede prevenir ataques. En ese caso, ¿cuál es la diferencia entre un IDS y un modo de tap IPS? He comprobado varios enlaces como this , pero no puede s...
hecha 07.04.2016 - 10:56
0
respuestas

Actualización de firmware de USB Rubber Ducky [cerrado]

Acabo de borrar mi firmware, usando dfu-programmer-0.7.2 : $ dfu-programmer at32uc3b1256 erase Checking memory from 0x2000 to 0x3FFFF... Not blank at 0x2001. Erasing flash... Success Checking memory from 0x2000 to 0x3FFFF... Empty. El...
hecha 20.12.2015 - 15:22
1
respuesta

¿Conflictos AIDE y OSSEC?

Al ser bastante nuevo tanto para AIDE como para OSSEC, he estado tratando de descubrir si hay algún conflicto potencial para tenerlos instalados en un host (CentOS 7.5). Parece que podrían funcionar como un enfoque de múltiples capas, pero no he...
hecha 22.08.2018 - 11:03
0
respuestas

Identificar la escalada de privilegios en los registros OSSEC [cerrado]

Estoy trabajando en un sistema de detección de intrusos que puede priorizar y atribuir los registros generados por OSSEC. Entonces, ¿cómo puedo entender un caso de escalamiento de privilegios (o solo los privilegios que un usuario tiene en ese m...
hecha 22.10.2017 - 00:26