Έχουν εξηγήσει τα συστήματα ανίχνευσης εισβολής που βασίζονται σε κεντρικούς υπολογιστές – 6 καλύτερα εργαλεία HIDS που εξετάστηκαν

6 καλύτερα εργαλεία HIDS


Τι είναι το HIDS ή το Σύστημα Ανίχνευσης Εισβολής?

Το HIDS είναι ένα αρκτικόλεξο για το σύστημα ανίχνευσης διείσδυσης ξενιστή. Θα παρακολουθεί τον υπολογιστή / δίκτυο στον οποίο είναι εγκατεστημένος και αναζητά εισβολές και κακή χρήση. Αν βρεθεί, θα καταγράψει τη δραστηριότητα και θα ειδοποιήσει τον διαχειριστή.

Το HIDS είναι παρόμοιο με τη χρήση κάμερας έξυπνης ασφάλειας στο σπίτι σας. εάν ένας εισβολέας θα έσπαζε στο σπίτι σας, η κάμερα θα ξεκινήσει την καταγραφή και θα στείλει μια ειδοποίηση στην κινητή συσκευή σας.

Εδώ είναι η λίστα μας τα έξι καλύτερα εργαλεία HIDS:

  1. Διαχείριση συμβάντων SolarWinds Security Event (ΔΩΡΕΑΝ ΔΟΚΙΜΑΣΙΑ) Ένα εξαιρετικό HIDS με ολοκληρωμένη αναφορά για συμμόρφωση με τα πρότυπα ασφάλειας δεδομένων. Λειτουργεί σε διακομιστή Windows αλλά επίσης συλλέγει δεδομένα από συστήματα Linux και Unix.
  2. Papertrail (ΕΛΕΥΘΕΡΟ ΣΧΕΔΙΟ) Cloud-based aggregator log από το SolarWinds και σε ελεύθερες και σε πληρωμένες εκδόσεις.
  3. Αναλυτής αρχείου καταγραφής συμβάντων διαχείρισης (FREE TRIAL) Αυτό το εργαλείο εξετάζει δεδομένα αρχείου καταγραφής από Windows Server ή Linux και προσθέτει σε πληροφορίες απειλής από άλλες πηγές.
  4. OSSEC Ελεύθερος επεξεργαστής αρχείων καταγραφής που υλοποιεί στρατηγικές ανίχνευσης βασισμένες στον κεντρικό υπολογιστή και στο δίκτυο. Εγκαθιστά σε Windows, Linux, Unix και Mac OS.
  5. Σάγκαν Ελεύθερο σύστημα ανίχνευσης εισβολής βασισμένο σε κεντρικό υπολογιστή που χρησιμοποιεί στρατηγικές που βασίζονται τόσο στην υπογραφή όσο και στην ανωμαλία. Μπορεί να εκτελεστεί σε Linux, Unix και Mac OS.
  6. Splunk Ελεύθερο σύστημα ανίχνευσης εισβολής βασισμένο σε κεντρικό υπολογιστή με μια πληρωμένη έκδοση που περιλαμβάνει επίσης μεθόδους που βασίζονται στο δίκτυο. Εγκαθιστά σε Windows, Linux και Mac OS και εσύ είναι επίσης μια έκδοση που βασίζεται σε σύννεφο.

Η ανίχνευση εισβολών έχει καταστεί σημαντική μέθοδος προστασίας για τα δίκτυα, προκειμένου να καταπολεμηθούν οι αδυναμίες ασφαλείας που είναι εγγενείς σε οποιοδήποτε σύστημα που περιλαμβάνει ένα ανθρώπινο στοιχείο. Ανεξάρτητα από το πόσο ισχυρές είναι οι πολιτικές σας για την πρόσβαση των χρηστών, οι χάκερς μπορούν πάντα να τις προσεγγίσουν περνώντας τον υπάλληλο να αποκαλύψει διαπιστευτήρια πρόσβασης.

Οι χάκερ με πρόσβαση μπορούν να καταλάβουν ένα εταιρικό σύστημα για χρόνια χωρίς να εντοπιστούν. Αυτός ο τύπος επίθεσης ονομάζεται Προηγμένη απειλή (ΚΑΤΑΛΛΗΛΟΣ). Οι IDS αποσκοπούν συγκεκριμένα στην απόρριψη των APT.

Ένα εργαλείο HIDS εστιάζει στην παρακολούθηση αρχείων καταγραφής. Οι περισσότερες εφαρμογές δημιουργούν μηνύματα καταγραφής και η αποθήκευση αυτών των αρχείων σε αρχεία σάς δίνει τη δυνατότητα να κάνετε αναζήτηση μέσω αυτών με την πάροδο του χρόνου και επιτόπου ενδείξεις εισβολής. Ένα μεγάλο πρόβλημα στη συγκέντρωση κάθε μηνύματος καταγραφής στο σύστημά σας είναι ότι θα καταλήξετε ένα μεγάλο όγκο δεδομένων. Η αποθήκευση των μηνυμάτων καταγραφής με έναν διατεταγμένο τρόπο σάς βοηθά να εντοπίσετε το σωστό αρχείο για να λάβετε δεδομένα με βάση την εφαρμογή και την ημερομηνία. Έτσι, το πρώτο βήμα για να είναι σε θέση να λάβετε σημαντικές πληροφορίες από το σύστημά σας καταγραφής είναι να οργανώσετε τα ονόματα αρχείων και τη δομή καταλόγου του διακομιστή αρχείων καταγραφής.

Το επόμενο βήμα για την εφαρμογή ενός HIDS είναι να πάρετε κάποια αυτοματοποιημένη ανίχνευση. Ένας HIDS θα αναζητήσει μέσω μηνυμάτων καταγραφής για συγκεκριμένα συμβάντα που μοιάζουν σαν να έχουν καταγράψει κακόβουλη δραστηριότητα. Αυτός είναι ο πυρήνας ενός εργαλείου HIDS και η μέθοδος ανίχνευσης που καθορίζει ποιες εγγραφές για ανάκτηση καθορίζονται από πολιτικές και ένα βάση κανόνων.

Πολλοί HIDS σας επιτρέπουν να γράψτε τους δικούς σας κανόνες δημιουργίας προειδοποιήσεων. Ωστόσο, αυτό που πραγματικά αναζητάτε όταν επιλέγετε ένα σύστημα ασφαλείας είναι ένα σύνολο προκαθορισμένων κανόνων που ενσωματώνουν την τεχνογνωσία των ειδικών ασφαλείας που γράφουν το λογισμικό.

Το HIDS είναι μόνο τόσο καλό όσο οι πολιτικές που παρέχει. Δεν μπορείτε να αναμένετε να συμβαδίσετε με όλους τους τελευταίους φορείς επίθεσης αφιερώνοντας επίσης χρόνο για τα καθημερινά καθήκοντα της δουλειάς σας και δεν υπάρχει λόγος να προσπαθείτε να μάθετε τα πάντα εάν μπορείτε να το πάρετε αυτό εξειδίκευση που σας παρέχεται από το εργαλείο HIDS.

Η σημασία των αρχείων καταγραφής

Ο όγκος των μηνυμάτων καταγραφής και συμβάντων μπορεί να είναι συντριπτικός και είναι δελεαστικό να τα αγνοήσουμε. Ωστόσο, ο κίνδυνος της δικαστικής προσφυγής που προκαλείται από την αποκάλυψη στοιχείων ή τη ζημία που μπορεί να γίνει σε μια επιχείρηση μέσω απώλεια δεδομένων σημαίνει ότι η μη προστασία των δεδομένων μπορεί τώρα να καταστρέψει την επιχείρησή σας.

Τα ζητήματα ασφάλειας και προστασίας δεδομένων έχουν πλέον γίνει ενσωματωθεί στις απαιτήσεις της σύμβασης και υπάρχουν πολλά πρότυπα που ακολουθούν τώρα οι βιομηχανίες προκειμένου να διαβεβαιώσουν τους ενδιαφερόμενους και να διατηρήσουν την ασφάλεια των επιχειρήσεων. Η συμμόρφωση με τα πρότυπα ακεραιότητας δεδομένων περιλαμβάνει απαιτήσεις για τη συντήρηση του αρχείου καταγραφής.

Ανάλογα με το πρότυπο που εφαρμόζει η εταιρεία σας, θα χρειαστεί να αποθηκεύσετε αρχεία καταγραφής για αρκετά χρόνια. Έτσι, η διαχείριση αρχείων καταγραφής έχει πλέον γίνει μια σημαντική επιχειρηματική απαίτηση. Ενώ ρυθμίζετε έναν διακομιστή αρχείων καταγραφής, μπορείτε επίσης να το κάνετε να ενσωματώσει σε αυτό τα μέτρα ασφαλείας, και αυτό κάνει ο HIDS.

Ασφάλεια αρχείου καταγραφής

Η διατήρηση της ακεραιότητας του αρχείου καταγραφής είναι ένα ουσιαστικό μέρος του HIDS. Τα μηνύματα συμβάντων μπορούν να εντοπίσουν την εισβολή και έτσι τα αρχεία καταγραφής είναι στόχοι για τους χάκερ. Ένας εισβολέας μπορεί να καλύψει τα ίχνη του χειριζόμενο αρχεία καταγραφής για να αφαιρέσει ενοχοποιητικά αρχεία. Επομένως, έναν διακομιστή αρχείων καταγραφής που υποστηρίζει αρχεία καταγραφής και ελέγχει για μη εξουσιοδοτημένες αλλαγές είναι σημαντικό για τη συμμόρφωση των προτύπων ασφάλειας δεδομένων.

Τα συστήματα HIDS δεν μπορούν να προστατεύσουν αποτελεσματικά τους πόρους του συστήματός σας, εάν διακυβεύονται οι πληροφορίες πηγής τους. Η προστασία των αρχείων καταγραφής επεκτείνεται επίσης στο σύστημα ελέγχου ταυτότητας του δικτύου σας. Κανένα αυτοματοποιημένο σύστημα προστασίας των αρχείων καταγραφής δεν θα ήταν σε θέση να διακρίνει μεταξύ της εξουσιοδοτημένης και μη εξουσιοδοτημένης πρόσβασης στο αρχείο καταγραφής χωρίς να παρακολουθεί επίσης την ασφάλεια των δικαιωμάτων των χρηστών.

HIDS έναντι NIDS

Τα συστήματα ανίχνευσης εισβολής βασισμένα σε κεντρικό υπολογιστή δεν είναι οι μόνες μέθοδοι προστασίας εισβολής. Τα συστήματα ανίχνευσης εισβολής χωρίζονται σε δύο κατηγορίες. Η HIDS είναι ένας από τους τομείς αυτούς, ενώ ο άλλος είναι συστήματα ανίχνευσης εισβολής που βασίζονται στο δίκτυο.

Τόσο το HIDS όσο και το NIDS εξετάζουν μηνύματα συστήματος. Αυτό ισοδυναμεί και με την εξέταση μηνυμάτων ημερολογίου και συμβάντος. Ωστόσο, Το NIDS εξετάζει επίσης τα πακέτα δεδομένων καθώς περνάει κατά μήκος των δικτύων. Ο κανόνας που χωρίζει τις ευθύνες της ανίχνευσης εισβολής μεταξύ αυτών των δύο μεθοδολογιών είναι ότι το NIDS συλλαμβάνει ζωντανά δεδομένα για ανίχνευση και Το HIDS εξετάζει αρχεία σε αρχεία.

Το πλεονέκτημα του NIDS είναι ότι προσφέρει ταχύτερη απόκριση από το HIDS. Μόλις εμφανιστεί ένα ύποπτο γεγονός στο δίκτυο, το NIDS θα το εντοπίσει και θα εγείρει μια προειδοποίηση. Ωστόσο, οι χάκερ είναι ύπουλες και προσαρμόζουν συνεχώς τις μεθόδους τους για να αποφύγουν την ανίχνευση. Ορισμένα πρότυπα δραστηριότητας γίνονται εμφανή ως κακόβουλα όταν λαμβάνονται υπόψη σε ένα ευρύτερο πλαίσιο.

Είτε είναι καλύτερο να πάρετε ένα HIDS ή ένα NIDS δεν είναι ένα μεγάλο ζήτημα γιατί πραγματικά χρειάζεστε και τα δύο.

Χαρακτηριστικά κλειδιού HIDS

Με την ανάλυση των ιστορικών δεδομένων σχετικά με τις δραστηριότητες, το HIDS είναι σε θέση να εντοπίσει τα πρότυπα δραστηριότητας που εμφανίζονται με την πάροδο του χρόνου. Ωστόσο, ακόμη και σε δίκτυα μέσου μεγέθους, οι όγκοι των αρχείων καταγραφής που παράγονται σε καθημερινή βάση μπορεί να είναι πολύ μεγάλοι, έτσι είναι σημαντικό να επιλέξετε ένα αποτελεσματικό εργαλείο ταξινόμησης και αναζήτησης.

Το HIDS σας δεν θα αξίζει να το χρησιμοποιήσετε εάν είναι πολύ αργό. Να θυμάστε ότι τα νέα αρχεία συσσωρεύονται συνεχώς, οπότε ένα γρήγορο HIDS μπορεί συχνά να είναι καλύτερο από ένα πολύ καλά παρουσιαζόμενο εργαλείο. Οι έξυπνοι διαχειριστές συστήματος προτιμούν να θέτουν σε κίνδυνο την παρουσίαση για να επιταχύνουν. Ωστόσο, ένα εργαλείο HIDS που είναι τόσο γρήγορο και καλά παρουσιασμένο είναι το καλύτερο από όλα.

HIDS και SIEM

Θα συναντήσετε πολύ τον όρο SIEM όταν εξετάζετε τα συστήματα ασφάλειας δικτύων. Αυτό το ακρωνύμιο αντιπροσωπεύει Πληροφορίες ασφάλειας και διαχείριση συμβάντων. Αυτός είναι ένας σύνθετος όρος που εξελίχθηκε συνδυάζοντας Διαχείριση πληροφοριών ασφαλείας (SIM) και Διαχείριση συμβάντων ασφαλείας (SEM). Η Διαχείριση Πληροφοριών Ασφαλείας εξετάζει τα αρχεία καταγραφής και έτσι είναι ίδια με το HIDS. Η διαχείριση συμβάντων ασφαλείας παρακολουθεί ζωντανά δεδομένα, καθιστώντας το ισοδύναμο ενός NIDS. Αν εφαρμόσετε ένα υβριδικό σύστημα ανίχνευσης εισβολής, θα έχετε δημιουργήσει ένα σύστημα SIEM.

Συστήματα πρόληψης εισβολής

Ως σύστημα ανίχνευσης εισβολής, ένα HIDS είναι ένα σημαντικό στοιχείο της προστασίας του δικτύου. Ωστόσο, δεν παρέχει όλες τις λειτουργίες που χρειάζεστε για την προστασία των δεδομένων της εταιρείας σας από κλοπή ή ζημιά. Πρέπει επίσης να είστε σε θέση να να ενεργεί με βάση τις πληροφορίες που παρέχει το IDS.

Η αποκατάσταση απειλών μπορεί να γίνει χειροκίνητα. Μπορεί να έχετε στη διάθεσή σας εργαλεία διαχείρισης δικτύου που θα σας βοηθήσουν στην αποτροπή εισβολέων. Εντούτοις, η σύνδεση της ανίχνευσης και της αποκατάστασης μαζί δημιουργεί ένα σύστημα πρόληψης εισβολής (IPS).

Τόσο οι στρατηγικές ανίχνευσης εισβολών όσο και οι στρατηγικές πρόληψης των εισβολών λειτουργούν με την υπόθεση ότι κανένα τείχος προστασίας ή σύστημα προστασίας από ιούς δεν είναι αλάνθαστο. Το IDS είναι η δεύτερη γραμμή άμυνας και πολλοί ειδικοί στην ασφάλεια των πληροφοριών προειδοποιούν ότι κανείς δεν πρέπει να βασίζεται σε μια στρατηγική προστασίας του δικτύου στα όριά του επειδή οποιοδήποτε σύστημα ασφαλείας μπορεί να υπονομευθεί από τα λάθη των χρηστών ή τις κακόβουλες δραστηριότητες των εργαζομένων.

"Σύστημα πρόληψης εισβολής" είναι ένα κομμάτι μιας ψευδούς ονομασίας, διότι οι παραβιάσεις ασφαλείας της IPS μόλις εντοπίστηκαν αντί να δημιουργήσουν ένα σύστημα τόσο στεγανό ώστε να μην υπάρχει πιθανότητα να εισέλθει στην πρώτη θέση.

Προηγμένη προστασία από απειλές

Ένας άλλος όρος που μπορείτε να δείτε όταν αντιμετωπίζετε προχωρημένες απειλές είναι η ATP. Αυτό σημαίνει Σύνθετη Προστασία Απειλών. Στη βασική του μορφή, ένα σύστημα ATP είναι το ίδιο με ένα IDS. Ωστόσο, ορισμένοι πάροχοι της ATP τονίζουν την απειλή πληροφοριών ως καθοριστικό χαρακτηριστικό των συστημάτων τους. Η ευφυΐα απειλών αποτελεί επίσης μέρος του ορισμού ενός IDS και ενός συστήματος SIEM.

Σε μια HIDS, η απειλή πληροφοριών βασίζεται στη βάση κανόνων των όρων αναζήτησης δεδομένων και των δοκιμών συστήματος που εντοπίζουν κακόβουλη δραστηριότητα. Αυτό μπορεί να παρέχεται με τη μορφή κωδικοποιημένων ελέγχων ή ρυθμιζόμενων κανόνων που ορίζονται ως πολιτικές. Η νοημοσύνη απειλών μπορεί επίσης να διατυπωθεί μέσα σε ένα IDS μέσω του AI. Ωστόσο, οι πολιτικές που διαμορφώνουν τα αυτοματοποιημένα συστήματα μπορούν να είναι εξίσου περιεκτικές με τους κανόνες συμπερασμάτων που είναι σκληροί συνδεδεμένοι με αυτούς κατά τη δημιουργία τους.

Οι πάροχοι ATP υπογραμμίζουν τις βασικές υπηρεσίες ευαισθητοποίησής τους ως καθοριστικό στοιχείο. Αυτές οι υπηρεσίες προσφέρονται είτε ως πρόσθετη συνδρομή στο λογισμικό ATP είτε περιλαμβάνονται στην τιμή αγοράς. Αυτό είναι ένα στοιχείο ανταλλαγής πληροφοριών που επιτρέπει στον πάροχο λογισμικού ATP να διανέμει νέες πολιτικές και κανόνες ανίχνευσης με βάση την επιτυχή αναγνώριση νέων φορέων επίθεσης από άλλους οργανισμούς. Ορισμένοι παροχείς HIDS περιλαμβάνουν αυτήν την υπηρεσία και μερικές HIDS υποστηρίζονται από κοινότητες χρηστών που μοιράζονται νέες πολιτικές ανίχνευσης. Ωστόσο, οι πάροχοι HIDS δεν είναι τόσο ισχυροί σε αυτό το στοιχείο διανομής πληροφοριών απειλών των υπηρεσιών τους ως πάροχοι ATP.

Μέθοδοι ανίχνευσης HIDS

Τόσο το HIDS όσο και το NIDS μπορούν να χωριστούν σε δύο υποκατηγορίες σύμφωνα με τις μεθόδους ανίχνευσής τους. Αυτά είναι:

  • Ανίχνευση με βάση την ανωμαλία
  • Ανίχνευση με βάση την υπογραφή

Δεν υπάρχει άμεση αντιστοίχιση μεταξύ του NIDS και του HIDS για οποιαδήποτε από αυτές τις δύο στρατηγικές. Δηλαδή, δεν μπορεί να ειπωθεί ότι το NIDS βασίζεται περισσότερο σε μία από αυτές τις μεθόδους και το HIDS είναι το ίδιο για την άλλη μεθοδολογία ανίχνευσης. Τόσο το HIDS όσο και το NIDS μπορούν να χρησιμοποιήσουν μία ή και τις δύο από αυτές τις στρατηγικές ανίχνευσης.

Ένα HIDS με στρατηγική που βασίζεται στην υπογραφή λειτουργεί με τον ίδιο τρόπο όπως και τα συστήματα προστασίας από ιούς. ένα NIDS με βάση την υπογραφή λειτουργεί ως ένα τείχος προστασίας. Δηλαδή, η προσέγγιση που βασίζεται στην υπογραφή αναζητά πρότυπα στα δεδομένα. Ένα τείχος προστασίας αναζητεί λέξεις-κλειδιά, τύπους πακέτων και δραστηριότητα πρωτόκολλο στην εισερχόμενη και εξερχόμενη κίνηση δικτύου, ενώ ένα NIDS εκτελεί τους ίδιους ελέγχους της κίνησης που κυκλοφορεί στο δίκτυο. Ένα πρόγραμμα εντοπισμού ιών θα αναζητήσει συγκεκριμένα μοτίβα δυαδικών ψηφίων ή λέξεις-κλειδιά σε αρχεία προγραμμάτων και ένα HIDS κάνει το ίδιο για αρχεία καταγραφής.

Μια ανωμαλία θα ήταν απροσδόκητη συμπεριφορά από έναν χρήστη ή μια διαδικασία. Ένα παράδειγμα αυτού θα ήταν ο ίδιος χρήστης που θα συνδεθεί στο δίκτυο από το Λος Άντζελες, το Χονγκ Κονγκ και το Λονδίνο όλα την ίδια ημέρα. Ένα άλλο παράδειγμα θα ήταν αν οι επεξεργαστές ενός διακομιστή ξαφνικά άρχισαν να εργάζονται σκληρά στις 2:00 το πρωί. Μια HIDS με βάση την ανωμαλία θα ψάχνει μέσα από αρχεία καταγραφής για τα αρχεία αυτών των ασυνήθιστων δραστηριοτήτων. ένα NIDS με βάση την ανωμαλία θα προσπαθήσει να εντοπίσει αυτές τις παρατυπίες καθώς συμβαίνουν.

Όπως συμβαίνει με την επιλογή μεταξύ του HIDS και του NIDS, η απόφαση για το αν πρόκειται να χρησιμοποιηθεί για ανίχνευση με βάση την υπογραφή ή IDS με βάση την ανωμαλία, επιλύεται πηγαίνοντας και για τα δύο.

Συνιστώμενα εργαλεία HIDS

Μπορείτε να περιορίσετε την αναζήτησή σας για ένα σύστημα ανίχνευσης εισβολής βασισμένο σε κεντρικό υπολογιστή διαβάζοντας τις συστάσεις μας. Αυτή η λίστα αντιπροσωπεύει το καλύτερο της φυλής για κάθε πτυχή ενός HIDS.

Θα βρείτε δωρεάν εργαλεία στη λίστα, μερικά από τα οποία έχουν πολύ κακές διεπαφές χρήστη, αλλά το έκαναν στη λίστα επειδή έχουν πολύ γρήγορες ταχύτητες επεξεργασίας δεδομένων. Θα βρείτε επίσης εργαλεία στη λίστα που περιλαμβάνουν γενικές διαδικασίες διαχείρισης αρχείων καταγραφής και έχουν συνταχθεί ειδικά για να συμμορφώνονται με τα γνωστά πρότυπα ασφάλειας δεδομένων. Άλλα εργαλεία είναι ολοκληρωμένα και σας δίνουν ό, τι χρειάζεστε σε ένα HIDS τόσο στο backend όσο και στη διεπαφή.

1. Διαχειριστής συμβάντων ασφαλείας SolarWinds (ΔΩΡΕΑΝ ΔΟΚΙΜΗ)

Διαχειριστής καταγραφών και συμβάντων Solarwinds

Το SolarWinds δημιούργησε ένα HIDS που έχει αυτοματοποιημένες δυνατότητες αποκατάστασης, καθιστώντας αυτό ένα σύστημα πρόληψης εισβολής, το Security Διαχειριστής συμβάντων.  Το εργαλείο περιλαμβάνει αναφορές ελέγχου συμμόρφωσης για να σας βοηθήσει να συνεχίσετε με τα PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 και DISA STIG.

Οι λειτουργίες προστασίας αρχείων καταγραφής που είναι ενσωματωμένες σε αυτό το βοηθητικό πρόγραμμα περιλαμβάνουν την κρυπτογράφηση κατά τη μεταφορά και την αποθήκευση και την παρακολούθηση αρχείων ελέγχου αρχείων και φακέλων. Μπορείς μηνύματα προώθησης και δημιουργία αντιγράφων ασφαλείας ή αρχειοθέτηση ολόκληρων φακέλων και αρχείων. Επομένως, τα χαρακτηριστικά διαχείρισης αρχείου καταγραφής και ακεραιότητας αυτού του εργαλείου είναι εξαιρετικά.

Το εργαλείο θα παρακολουθεί συνεχώς τα αρχεία καταγραφής σας, συμπεριλαμβανομένων εκείνων που είναι ακόμη ανοικτά για νέες εγγραφές. Δεν χρειάζεται να εκδίδετε ερωτήματα με μη αυτόματο τρόπο, επειδή ο Διαχειριστής συμβάντων ασφαλείας θα αυξήσει αυτόματα τις ειδοποιήσεις κάθε φορά που εντοπίζεται μια προειδοποιητική κατάσταση. Υπάρχει επίσης ένα εργαλείο ανάλυσης μέσα στο πακέτο που σας δίνει τη δυνατότητα να εκτελείτε χειροκίνητους ελέγχους της ακεραιότητας των δεδομένων και της άμεσης εισβολής με ανθρώπινο μάτι.

Παρόλο που το λογισμικό αυτό θα εγκατασταθεί μόνο σε Windows Server, θα συλλέξει δεδομένα καταγραφής από άλλα λειτουργικά συστήματα, συμπεριλαμβανομένων των Linux και Unix. Μπορείς να πάρεις μια δωρεάν δοκιμή 30 ημερών του SolarWinds Security Event Manager.

Διαχείριση γεγονότων SolarWinds SecurityDownload 30ήμερη ΔΩΡΕΑΝ δοκιμή

2. Papertrail (FREE PLAN) 

Στιγμιότυπο οθόνης Papertrail

Το SolarWinds εκτελείται α Cloud-based service management, που ονομάζεται Papertrail. Αυτό είναι έναν καταχωρητή καταγραφής που συγκεντρώνει την αποθήκευση του αρχείου καταγραφής. Το Papertrail μπορεί να διαχειριστεί Αρχεία καταγραφής συμβάντων των Windows, Syslog μηνύματα, Αρχεία καταγραφής διακομιστή Apache, Τα μηνύματα του προγράμματος Ruby on Rails, και τις ειδοποιήσεις του δρομολογητή και του τείχους προστασίας. Τα μηνύματα μπορούν να προβληθούν ζωντανά στο ταμπλό του συστήματος καθώς ταξιδεύουν στα αρχεία καταγραφής. Εκτός από τη διαχείριση αρχείων καταγραφής, το εργαλείο περιλαμβάνει βοηθητικά προγράμματα αναλυτικής υποστήριξης.

Τα δεδομένα καταγραφής είναι κρυπτογραφημένα τόσο κατά τη μεταφορά όσο και κατά την ανάπαυση και η πρόσβαση στα αρχεία καταγραφής προστατεύεται με έλεγχο ταυτότητας. Τα αρχεία σας βρίσκονται στο διακομιστή του Papertrail και στο Το SolarWinds φροντίζει για δημιουργία αντιγράφων ασφαλείας και αρχειοθέτηση, έτσι μπορείτε να εξοικονομήσετε χρήματα για την αγορά, τη διαχείριση και τη συντήρηση των διακομιστών αρχείων.

Η Papertrail απασχολεί τόσο ανωμαλίες όσο και μέθοδοι ανίχνευσης με βάση την υπογραφή και επωφεληθείτε από ενημερώσεις πολιτικής που μάθατε από απειλές που απευθύνονται σε άλλους πελάτες του Papertrail. Μπορείτε επίσης να συγκεντρώσετε τους δικούς σας κανόνες ανίχνευσης.

Η SolarWinds προσφέρει το Papertrail για συνδρομή με μια σειρά σχεδίων, το χαμηλότερο από το οποίο είναι δωρεάν.

SolarWinds Aggregator Καταγραφής Χαρτιού για PaperTrailerΣυγραμμίστε το σχέδιο ΔΩΡΕΑΝ εδώ

3. Αναλυτής αρχείου καταγραφής συμβάντων διαχείρισης (FREE TRIAL)

ManageEngine Αναλυτής καταγραφής συμβάντων

Αναλυτής καταγραφής συμβάντων του ManageEngine είναι τόσο HIDS όσο και NIDS. Η μονάδα διαχείρισης ημερολογίου συλλέγει και αποθηκεύει Syslog και SNMP μηνυμάτων. Τα μεταδεδομένα για κάθε μήνυμα Syslog αποθηκεύονται επίσης.

Τα αρχεία καταγραφής προστατεύονται τόσο από τη συμπίεση όσο και από την κρυπτογράφηση και η πρόσβαση προστατεύεται με έλεγχο ταυτότητας. Τα αντίγραφα ασφαλείας μπορούν να αποκατασταθούν αυτόματα όταν ο αναλυτής ανιχνεύει την παραβίαση αρχείου καταγραφής.

Ο πίνακας ελέγχου είναι προσαρμόσιμος και διαφορετικές οθόνες και λειτουργίες μπορούν να διατεθούν σε διαφορετικές ομάδες χρηστών. Η αναφορά περιλαμβάνει ελέγχους συμμόρφωσης για PCI DSS, FISMA και HIPAA μεταξύ άλλων. Μπορείτε επίσης να ενεργοποιήσετε ειδοποιήσεις συμμόρφωσης συστήματος.

Ο Αναλυτής καταγραφής συμβάντων εκτελείται Windows ή Linux και μπορεί να ενσωματωθεί με τα εργαλεία διαχείρισης της υποδομής της ManageEngine. ΕΝΑ Δωρεάν έκδοση του εργαλείου αυτού είναι διαθέσιμο μόνο έως 5 πηγές καταγραφής. Μπορείτε επίσης να κάνετε λήψη ενός αρχείου Δωρεάν δοκιμή 30 ημερών απο Premium Edition. Για περισσότερες επιλογές τιμολόγησης μπορείτε επικοινωνήστε με την ομάδα πωλήσεών τους.

Αναλυτής αρχείου καταγραφής συμβάντων διαχείρισηςManageEngineΕφαρμογή δωρεάν δοκιμής 30 ημερών

4. OSSEC

OSSEC screenshot

OSSEC είναι μια δωρεάν ελεύθερη πηγή HIDS που παράγεται από την Trend Micro. Περιλαμβάνει επίσης χαρακτηριστικά παρακολούθησης του συστήματος τα οποία συνήθως αποδίδονται σε NIDSs. Αυτός είναι ένας πολύ αποτελεσματικός επεξεργαστής δεδομένων αρχείου καταγραφής, αλλά δεν συνοδεύεται από διεπαφή χρήστη. Οι περισσότεροι χρήστες έβαλαν Kibana ή Graylog στο μπροστινό μέρος του ΟΣΕΚΑ.

Αυτό το εργαλείο θα σας οργανώσει την αποθήκευση αρχείων καταγραφής και θα προστατεύσει τα αρχεία από παραβίαση. Η ανίχνευση εισβολών είναι βασισμένη σε ανωμαλίες και εφαρμόζεται μέσω "πολιτικές."Αυτά τα σύνολα κανόνων μπορούν να αποκτηθούν δωρεάν από την κοινότητα των χρηστών.

Το λογισμικό OSSEC μπορεί να εγκατασταθεί Windows, Linux, Unix, ή Mac OS. Παρακολουθεί Αρχεία καταγραφής συμβάντων των Windows και επίσης το μητρώο. Θα προστατεύσει το λογαριασμό root Linux, Unix, και Mac OS. Η υποστήριξη παρέχεται δωρεάν από την ενεργή κοινότητα χρηστών ή μπορείτε να πληρώσετε την Trend Micro για επαγγελματικό πακέτο υποστήριξης.

5. Sagan

Sagan στιγμιότυπο οθόνης

Ο Σάγκαν είναι α ελεύθερο HIDS που εγκαθίσταται Unix, Linux, και Mac OS. Είναι σε θέση να συλλέξει Αρχείο καταγραφής συμβάντων των Windows μηνυμάτων, παρόλο που δεν εκτελείται στα Windows. Μπορείτε να διανείμετε την επεξεργασία του Sagan για να διατηρήσετε τα γενικά έξοδα στη λυχνία CPU του διακομιστή καταγραφής. Το σύστημα χρησιμοποιεί τόσο ανωμαλίες όσο και μέθοδοι ανίχνευσης με βάση την υπογραφή.

Μπορείτε να ρυθμίσετε τις ενέργειες να εμφανίζονται αυτόματα όταν ανιχνεύεται μια εισβολή. Το εργαλείο διαθέτει μερικά μοναδικά χαρακτηριστικά που λείπουν μερικά από τα πιο προεξέχοντα HIDS. Αυτά περιλαμβάνουν μια εγκατάσταση γεωγραφικής κατανομής IP που θα σας επιτρέψει να δημιουργήσετε ειδοποιήσεις όταν εντοπιστούν δραστηριότητες διαφορετικών διευθύνσεων IP στην ίδια γεωγραφική πηγή. Το εργαλείο σας επιτρέπει επίσης να ρυθμίσετε κανόνες που σχετίζονται με το χρόνο για την ενεργοποίηση ειδοποιήσεων. Το σύστημα γράφτηκε για να είναι συμβατό με Φύσημα, που είναι ένα σύστημα ανίχνευσης δικτύου, προσφέροντας δυνατότητες Saga NIDS όταν συνδυάζεται με συλλέκτη δεδομένων δικτύου. Το Sagan περιλαμβάνει μια εγκατάσταση εκτέλεσης σεναρίου που κάνει αυτό ένα IPS.

6. Splunk

Splunk

Το Splunk προσφέρει χαρακτηριστικά HIDS και NIDS. Το βασικό πακέτο αυτού του εργαλείου είναι ελεύθερη για χρήση και δεν περιλαμβάνει τυχόν ειδοποιήσεις δεδομένων βάσει δικτύου, οπότε είναι καθαρό HIDS. Αν ψάχνετε ένα HIDS με βάση την ανωμαλία, αυτή είναι μια πολύ καλή επιλογή. Η κορυφαία έκδοση του Splunk καλείται Splunk Enterprise και υπάρχει μια έκδοση λογισμικού-ως-υπηρεσίας (SaaS) αυτού, η οποία καλείται Splunk Cloud. Μεταξύ της έκδοσης Free και της έκδοσης Enterprise βρίσκεται Splunk Light, η οποία έχει ορισμένους περιορισμούς στην υπηρεσία. Υπάρχει επίσης μια online έκδοση του Splunk Light, που ονομάζεται Splunk Light Cloud.

Το Splunk διαθέτει λειτουργίες αυτοματοποίησης της ροής εργασίας που το καθιστούν ένα σύστημα πρόληψης εισβολής. Αυτή η ενότητα ονομάζεται Προσαρμοστικό Πλαίσιο Επιχειρήσεων και συνδέει αυτοματοποιημένα σενάρια για την ενεργοποίηση ειδοποιήσεων. Η αυτοματοποίηση των λύσεων για τα εντοπισμένα προβλήματα είναι διαθέσιμη μόνο με τις υψηλότερες πληρωμένες επιλογές του Splunk.

Το ταμπλό του Splunk είναι πολύ ελκυστικό με απεικονίσεις δεδομένων όπως γραφήματα γραμμών και πινακίδες πίτας. Το σύστημα περιλαμβάνει έναν αναλυτή δεδομένων σε όλες τις εκδόσεις του Splunk. Αυτό σας δίνει τη δυνατότητα να δείτε τα αρχεία, να τα συνοψίσετε, να τα ταξινομήσετε και να τα αναζητήσετε και να τα αναπαραστήσετε σε γραφήματα.

Όλα τα επίπεδα του Splunk λειτουργούν σε Windows, Linux και macOS. Μπορείτε να λάβετε μια δωρεάν δοκιμή 30 ημερών για το Splunk Light, μια δωρεάν δοκιμή 60 ημερών για την Splunk Enterprise και μια δωρεάν δοκιμή 15 ημερών για το Splunk Cloud.

Επιλογή ενός HIDS

Υπάρχουν τόσα πολλά εργαλεία διαχείρισης αρχείων με δυνατότητες ανάλυσης διαθέσιμα στην αγορά που θα μπορούσατε να περάσετε πολύ καιρό αξιολογώντας όλες τις επιλογές HIDS σας. Με τη λίστα σε αυτόν τον οδηγό, τώρα έχετε κάνει πολλές έρευνες και το επόμενο βήμα είναι να εστιάσετε σε εκείνα τα εργαλεία που λειτουργούν στο λειτουργικό σύστημα του διακομιστή σας. Εάν θέλετε να χρησιμοποιήσετε τις υπηρεσίες που βασίζονται σε Cloud, τότε το Papertrail και το Splunk Cloud θα σας ενδιαφέρουν περισσότερο.

Ευτυχώς, όλα τα εργαλεία στη λίστα μας είτε είναι δωρεάν είτε είναι διαθέσιμα δωρεάν δοκιμές, ώστε να μπορείτε να εγκαταστήσετε δυο υποψηφίους για να τις εκτελέσετε μέσω των βημάτων τους χωρίς κανένα οικονομικό κίνδυνο.

Χρησιμοποιείτε αυτήν τη στιγμή ένα HIDS; Ποιο σύστημα επιλέξατε; Πιστεύετε ότι είναι σημαντικό να πληρώσετε για ένα εργαλείο ή είστε ευχαριστημένοι χρησιμοποιώντας μια ελεύθερη χρησιμότητα; Αφήστε ένα μήνυμα στο Σχόλια παρακάτω και μοιραστείτε τις εμπειρίες σας με την κοινότητα.

Εικόνα: Ασφάλεια πληροφορικής από την Pixabay. Δημόσιος τομέας.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

5 + 5 =