开源EDR--OSSEC（开源节流）

OSSEC具有强大的关联和分析引擎，集成了日志分析，文件完整性监视，Windows注册表监视，集中式策略执行，rootkit检测，实时警报和主动响应。它可以在大多数操作系统上运行，包括Linux，OpenBSD，FreeBSD，MacOS，Solaris和Windows （官网：http://www.ossec.net）

OSSEC是监视和控制系统的完整平台。

它在一个简单，功能强大且开源的解决方案中将HIDS（基于主机的入侵检测），日志监视和SIM / SIEM的所有方面结合在一起。

OSSEC功能

基于日志的入侵检测（LID）

实时主动监视和分析来自多个日志数据点的数据

Rootkit和恶意软件检测

进程和文件级别分析，以检测恶意应用程序和rootkit

积极回应

通过多种机制实时响应系统上的攻击和更改，包括防火墙策略，与CDN等第三方和支持门户的集成以及自我修复操作

合规审计

应用程序和系统级审核，以确保符合许多常见标准，例如PCI-DSS和CIS基准

文件完整性监控（FIM）

对于文件和Windows注册表实时设置，不仅可以检测到系统更改，还可以随着时间的推移维护数据的法证副本。

系统清单

收集系统信息，例如已安装的软件，硬件，利用率，网络服务，侦听器和其他信息。