我是Ossec的新手,最近已将其安装在我当前工作的公司的服务器上。
此服务器监视80台Windows 7代理计算机。在这些代理计算机上设置Ossec的主要目的是使我们可以部署文件完整性监视。
现在是我的问题;我应该监视哪种目录?到目前为止,我只有Ossec默认提供的默认目录。我还添加了FIM到“系统”和“ System32”目录中。还有其他建议您监视的目录或文件吗?
亲切的问候,
亚历克斯
答案 0 :(得分:0)
部分地,答案取决于您为什么安装OSSEC。如果您安装它以符合法规(例如GDPR),则可能需要它来监视与策略相关的所有文件。例如,如果您有一个策略,所有密码都必须是10个字符长,并且您有一个设置文件来强制使用10个字符,则应该监视该文件。
您应该让OSSEC监视所有配置文件。您可能还希望它监视用户文件和数据文件。
考虑需要保护的内容。如果一个不好的角色要访问其中一台计算机,它们可能会发生什么变化?有了这个问题的答案,您就会知道该保护什么。