doc/br/active-response-internal.txt

   1 OSSEC HIDS 0.6
   2 Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
   3                                         <dcid@ossec.net>
   4
   5
   6 Como a resposta ativa trabalha internamente:
   7
   8 - Leia o arquivo active-respose-doc.txt para maiores detalhes
   9   de configuração
  10
  11
  12 1 - O servidor de análize recebe um evento que acione a
  13     política de resposta ativa.
  14
  15 2 - O servidor de análize verifica todos os campos requeridos
  16     fornecidos pelo evento. Isto significa que o servidor
  17     de análise decodificará o evento e irá extrair as informações
  18     necessárias. Um exemplo disto é que pode-se extrair o número
  19     de IP de um evento e enviálo para o firewall bloquear.
  20
  21 3 - Se a política de resposta ativa especificar esta ação, e esta
  22     dever ser executada localmente no AS, uma mensagem deve ser
  23     enviada diretamente.
  24
  25 4 - Se a política de resposta ativa especificar uma ação,
  26     e esta deve ser executada remotamente, uma mensagem é enviada para
  27     o servidor (remoted) para enviar o evento ao cliente especificado.
  28