OSSEC HIDS 0.6
Copyright (c) 2004-2006 Daniel B. Cid   <daniel.cid@gmail.com>
                                        <dcid@ossec.net>
                                        

Como a resposta ativa trabalha internamente:

- Leia o arquivo active-respose-doc.txt para maiores detalhes 
  de configurao


1 - O servidor de anlize recebe um evento que acione a 
    poltica de resposta ativa.

2 - O servidor de anlize verifica todos os campos requeridos
    fornecidos pelo evento. Isto significa que o servidor
    de anlise decodificar o evento e ir extrair as informaes
    necessrias. Um exemplo disto  que pode-se extrair o nmero
    de IP de um evento e envilo para o firewall bloquear.
    
3 - Se a poltica de resposta ativa especificar esta ao, e esta
    dever ser executada localmente no AS, uma mensagem deve ser 
    enviada diretamente.

4 - Se a poltica de resposta ativa especificar uma ao,
    e esta deve ser executada remotamente, uma mensagem  enviada para
    o servidor (remoted) para enviar o evento ao cliente especificado.

