OSSEC HIDS 0.6
Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
                                        <dcid@ossec.net>
                                        

Como a resposta ativa trabalha internamente:

- Leia o arquivo active-respose-doc.txt para maiores detalhes 
  de configuração


1 - O servidor de análize recebe um evento que acione a 
    política de resposta ativa.

2 - O servidor de análize verifica todos os campos requeridos
    fornecidos pelo evento. Isto significa que o servidor
    de análise decodificará o evento e irá extrair as informações
    necessárias. Um exemplo disto é que pode-se extrair o número
    de IP de um evento e enviálo para o firewall bloquear.
    
3 - Se a política de resposta ativa especificar esta ação, e esta
    dever ser executada localmente no AS, uma mensagem deve ser 
    enviada diretamente.

4 - Se a política de resposta ativa especificar uma ação,
    e esta deve ser executada remotamente, uma mensagem é enviada para
    o servidor (remoted) para enviar o evento ao cliente especificado.