我是Ossec的新手,最近在我目前工作的公司的服务器上安装了它。
此服务器监视 80 台 Windows 7 代理计算机。在这些代理计算机上设置 Ossec 的主要目的是我们可以部署文件完整性监控。
现在回答我的问题;我应该监视哪种类型的目录?到目前为止,我只有 Ossec 默认提供的默认目录。我还将FIM添加到"系统"和"系统32"目录中。您是否建议我监视更多目录或文件?
亲切问候
亚历克斯
在某种程度上,答案取决于您安装 OSSEC 的原因。如果您安装它是为了符合法规(如 GDPR(,则可能需要它来监视与策略相关的任何文件。例如,如果您有一个策略,规定所有密码的长度必须为 10 个字符,并且您有一个强制使用 10 个字符的设置文件,则应监视该文件。
您应该让 OSSEC 监控任何配置文件。您可能还希望它监视用户文件和数据文件。
想想你需要保护什么。如果不良行为者可以访问其中一台计算机,他们可能会改变什么?有了这个问题的答案,你就会知道要保护什么。