Per quanto ne so, OSSEC è un HID open source. È un "sistema di rilevamento". Ho letto sui giornali, raccoglie i log e segnala qualsiasi anomalia trovata in un sistema (ad es. Debian Server) e ne agisce.
Alcune delle regole di OSSEC, c'è come un modo possibile per prevenire l'anomalia per farlo agire come, prevenire la forza bruta bloccando un IP per 600 secondi se l'autenticazione fallisce 2 volte.
Esistono regole o comandi di risposta attiva che potrebbero impedire a virus o anomalie di diffondere, infettare e distruggere il nostro sistema. C'è mai qualche dimostrazione riguardo a quelle condizioni? dove potrei trovarlo?
quello che ho provato è come bloccare un ip per attacco brute force (FTP, SSH), ma se l'hacker fosse in qualche condizione potrebbe impedire alle regole di ossec di bloccare l'ip, e ha iniziato a diffondere alcuni file / documenti indesiderati noto come virus? C'è qualche filmato o dimostrazione a riguardo?
La mia domanda: in che modo OSSEC può gestire un virus che si sta già diffondendo? OSSEC è proprio come rilevare l'anomalia e fare qualche azione. È possibile?