Se si dispone di un agente OSSEC in esecuzione sul firewall remoto, è possibile utilizzare i comandi nativi di ossec.
Il < posizione > opzione definisce dove deve essere eseguita la risposta attiva. Normalmente è configurato per eseguire la risposta attiva sull'host che ha generato l'evento ("locale"), ma può anche essere configurato per eseguire la risposta attiva su qualsiasi host che abbia un agente ("agente definito").
Un esempio di una configurazione di risposta attiva che deve essere sempre eseguita su un host specifico, indipendentemente da dove è stata attivata (in questo esempio i trigger AR su regole dal gruppo ar_central_firewall ed eseguito sull'agente 123).
<active-response>
<command>firewall-drop</command>
<location>defined-agent</location>
<agent_id>123</agent_id>
<rules_group>ar_central_firewall</rules_group>
<timeout>900</timeout>
</active-response>
La documentazione OSSEC ha una panoramica di tutte le possibili opzioni di configurazione per le risposte attive.