开源安全事件元数据(OSSEM)

开源安全事件元数据(OSSEM)是一个社区主导的项目，主要关注来自不同数据源和操作系统的安全事件日志的文档化和标准化。安全事件以字典格式记录下来，可以作为诸如ThreatHunter-Playbook之类项目的参考，同时将数据源映射到用于验证对抗性技术检测的数据分析。此外，该项目还提供了一个公共信息模型(CIM)，可以在数据规范化过程中供数据工程师使用，从而允许安全分析人员跨不同数据源查询和分析数据。最后，该项目还提供了关于特定数据源中确定的结构和关系的文档，以促进数据分析的开发。

1

OSSEC

OSSEC是一款 开源 的多平台的 入侵检测系统 ，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，root-kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本的OSSEC，如果有多台电脑都安装了OSSEC，那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。

功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外，它还一般被用在SEM/SIM（安全事件管理（SEM： Security Event Management）/安全信息管理（SIM：SecurityInformation Management））解决方案中。因其强大的日志分析引擎，ISP（Internet service provider）（网络服务提供商）、大学和数据中心用其监控和分析他们的防火墙、 入侵检测系统 、网页服务和验证等产生的日志。

2

AIDE

---