Функции ossec против snort / tripwire для соответствия pci

Это несправедливое сравнение, поскольку не все эти продукты делают одно и то же.

Snort - это система обнаружения сетевых вторжений.

ossec - это система обнаружения вторжений в сеть на основе хоста, как и tripwire и iwatch, поскольку они отслеживают целостность файлов / файловой системы / системы на предмет изменений и аномалий.

Nessus - это сканер уязвимостей Tenable, который сканирует сеть, проверяя, где это возможно (и были предоставлены учетные данные), выявляя известные уязвимости и возможные неправильные конфигурации в большом «канале».

Я согласен с другими авторами, у них другие цели. Поскольку ваш основной вопрос, похоже, касается OSSEC, я предполагаю, что вы в основном ищете централизованного менеджера. OSSIM и Prelude - другие варианты в этой области, хотя я думаю, что OSSIM немного лучше.

OSSIM ~ Прелюдия

Снорби заслуживает внимания с точки зрения управления Snort и отчетности.

Snorby

Я обнаружил, что эта страница (хотя и немного предвзято) хорошо читается в том, что касается идентификаторов файловой системы.

Сравнение нескольких программ мониторинга целостности хоста / файла

Насколько я могу судить, tripwire следит за изменениями файловой системы, что и OSSEC. Но OSSEC также следит за журналами и имеет длинный список правил для выявления и уведомления о ненормальной активности. Эти правила легко определить, так что вы также можете иметь свои собственные местные правила.

В OSSEC есть центральный менеджер, с помощью которого вы можете контролировать конфигурацию и активность агентов.

В OSSEC есть правила для snort, поэтому вы можете связать их вместе и использовать OSSEC для фильтрации сигналов snort.

Что касается мониторинга PCI, OSSEC может помочь в автоматическом анализе журналов.