我一直在研究如何使用OSSEC主动响应,似乎我能找到的唯一响应命令是firewall-drop.sh:和&恶意测试。有没有办法创建自定义响应?
答案 0 :(得分:0)
您可以创建自定义回复。 Firewall Drop只是他们创建的shell脚本,用于阻止IP匹配规则。
所以我的想法是,if(rule == matched){run active-response}
如果你进入主动 - 响应目录,你会发现firewall.sh。这可以替换,也可以在那里创建自己的脚本,并且可以作为主动响应。