Sistemele de detecție a intruziunilor bazate de gazdă explicate – 6 cele mai bune instrumente HIDS revizuite

6 cele mai bune instrumente HIDS


Ce este HIDS sau sistemul de detectare a intruziunilor gazdă?

HIDS este un acronim pentru sistemul de detectare a intruziunilor gazdă. Acesta va monitoriza calculatorul / rețeaua pe care este instalat, căutând atât intruziuni, cât și utilizare necorespunzătoare. Dacă este găsit, va înregistra activitatea și va anunța administratorul.

HIDS este similar cu utilizarea camerelor inteligente de securitate din casa ta; dacă un intrus ar intra în casa ta, camera ar începe să înregistreze și să trimită o alertă pe dispozitivul tău mobil.

Iată lista noastră cu cele șase cele mai bune instrumente HIDS:

  1. Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT) Un HIDS excelent, cu raportare cuprinzătoare pentru respectarea standardelor de securitate a datelor. Se execută pe serverul Windows, dar colectează și date din sistemele Linux și Unix.
  2. Papertrail (PLAN GRATUIT) Agregator de jurnal bazat pe cloud de la SolarWinds, atât în ​​versiuni gratuite, cât și în mod plătit.
  3. Gestionează Analizatorul jurnalului de evenimente (PROBLE GRATUIT) Acest instrument examinează datele fișierelor de jurnal de pe Windows Server sau Linux și adaugă informații despre amenințări din alte surse.
  4. OSSEC Procesor de fișiere jurnal gratuit care implementează atât strategii de detecție bazate pe gazdă, cât și pe rețea. Se instalează pe Windows, Linux, Unix și Mac OS.
  5. Sagan Sistem gratuit de detectare a intruziunilor bazat pe gazdă, care folosește atât semnături cât și strategii bazate pe anomalii. Poate rula pe Linux, Unix și Mac OS.
  6. Splunk Sistem gratuit de detectare a intruziunilor bazat pe gazdă, cu o ediție plătită care include și metode bazate pe rețea. Instalează pe Windows, Linux și Mac OS și tine este, de asemenea, o versiune bazată pe Cloud.

Detectarea intruziunilor a devenit o metodă importantă de protecție pentru rețele pentru a combate punctele slabe de securitate inerente oricărui sistem care include un element uman. Oricât de puternice sunt politicile de acces ale utilizatorilor dvs., hackerii pot oricând să-i ocolească trucând un angajat pentru a dezvălui datele de acces.

Hackerii cu acces pot ocupa un sistem corporativ ani de zile fără a fi detectați. Acest tip de atac se numește an Amenințare persistentă avansată (APT). ID-urile vizează în mod special să depășească APT-urile.

Un instrument HIDS se concentrează pe monitorizarea fișierelor jurnal. Majoritatea aplicațiilor generează mesaje de jurnal și stocarea acestor înregistrări în fișiere vă permite să căutați prin ele în timp și la indicații de intruziere la fața locului. O mare problemă a adunării fiecărui mesaj de jurnal pe sistemul dvs. este că veți ajunge la o cantitate mare de date. Stocarea mesajelor de jurnal într-o manieră ordonată vă ajută să identificați fișierul potrivit pentru a obține date după aplicație și dată. Deci, primul pas în a putea obțineți informații semnificative din sistemul dvs. de jurnal este de a organiza numele fișierelor și structura directorului serverului dvs. de fișiere jurnal.

Următorul pas în implementarea unui HIDS este să obțineți unele detecții automate. Un HIDS va căuta prin mesajele de jurnal pentru evenimente specifice se pare că ar fi înregistrat o activitate rău intenționată. Acesta este nucleul unui instrument HIDS și metoda de detectare care specifică care sunt înregistrările de recuperat politici și a bază de regulă.

Multe HIDS vă permit scrieți-vă propriile reguli de generare de alertă. Totuși, ceea ce căutați cu adevărat atunci când alegeți un sistem de securitate este un set de reguli pre-scrise care încorporează expertiza experților în securitate care scriu software-ul.

Un HIDS este la fel de bun ca politicile pe care le oferă. Nu vă puteți aștepta cu toți cei mai noi vectori de atac, dedicând totodată timp sarcinilor cotidiene ale meseriei dvs. și nu are niciun rost să încercați să știți totul dacă puteți obține asta expertiză oferit de dvs. ca instrument HIDS.

Importanța fișierelor jurnal

Volumul mesajelor de jurnal și eveniment poate fi copleșitor și este tentant să le ignorăm doar. Cu toate acestea, riscul de litigii declanșat de divulgarea datelor sau de daunele care pot fi aduse unei întreprinderi prin pierderea de date înseamnă că nerespectarea datelor vă poate strica afacerea.

Problemele de securitate și protecție a datelor au devenit acum integrat în cerințele contractuale și există multe standarde pe care industriile le urmează acum pentru a asigura părțile interesate și a menține securitatea afacerii. Respectarea standardelor de integritate a datelor include cerințe pentru întreținerea fișierului jurnal.

În funcție de standardul pe care îl implementează compania dvs., va trebui să stocați fișierele jurnal pentru un număr de ani. Deci, gestionarea fișierelor de jurnal a devenit acum o cerință importantă de afaceri. În timp ce configurați un server de jurnal, puteți de asemenea integrează măsuri de securitate în el, și asta face HIDS.

Securitatea fișierului jurnal

Menținerea integrității fișierului jurnal este o parte esențială a SIDA. Mesajele de evenimente pot identifica intruziunea și astfel fișierele de jurnal sunt ținte pentru hackeri. Un intrus își poate acoperi piesele manipulând fișierele jurnal pentru a elimina înregistrările incriminatoare. Prin urmare, un server de jurnal care face backup pentru fișierele jurnal și verifică modificări neautorizate este important pentru respectarea standardelor de securitate a datelor.

Sistemele HIDS nu pot proteja în mod eficient resursele sistemului dvs. dacă informațiile sale sursă sunt compromise. Protecția fișierelor de jurnal se extinde și la sistemul de autentificare al rețelei dvs. Niciun sistem de protecție automatizat al fișierelor jurnal nu ar putea face distincția între accesul autorizat și neautorizat la fișierele de jurnal fără a monitoriza, de asemenea, securitatea permisiunilor utilizatorului..

HIDS vs NIDS

Sistemele de detectare a intruziunilor bazate pe gazdă nu sunt singurele metode de protecție împotriva intruziunilor. Sistemele de detectare a intruziunilor sunt împărțite în două categorii. HIDS este unul dintre acele sectoare, celălalt este sistemele de detectare a intruziunilor bazate pe rețea.

Atât HIDS, cât și NIDS examinează mesajele sistemului. Aceasta înseamnă atât privirea mesajelor de jurnal, cât și a evenimentelor. in orice caz, NIDS examinează, de asemenea, datele de pachete pe măsură ce trece de-a lungul rețelelor. Regula generală care împarte responsabilitățile de detectare a intruziunilor între aceste două metodologii este că NIDS captează date vii pentru detectarea și HIDS examinează înregistrările în dosare.

Avantajul NIDS este că oferă un răspuns mai rapid decât HIDS. Imediat ce apare un eveniment suspect în rețea, NIDS ar trebui să-l localizeze și să ridice o alertă. Cu toate acestea, hackerii sunt truditori și își reglează constant metodele pentru a sustrage detectarea. Unele tipare de activitate devin aparente ca dăunătoare doar atunci când sunt luate în considerare într-un context mai larg.

Dacă este mai bine să obțineți un SIDA sau un NIDS nu este o problemă mare, deoarece aveți nevoie într-adevăr de ambele.

Atributele cheie ale HIDS

Analizând datele istorice privind activitățile, un HIDS este capabil să localizeze tiparele de activitate care apar în timp. Cu toate acestea, chiar și în rețelele mijlocii, volumele înregistrărilor de jurnal generate zilnic pot fi foarte mari, de aceea este important să alegeți un instrument eficient de sortare și căutare.

HIDS-ul dvs. nu va merita utilizat dacă este prea lent. Sa nu uiti asta noi înregistrări se acumulează constant, deci un HIDS rapid poate fi adesea mai bun decât un instrument foarte bine prezentat. Administratorii de sistem inteligent preferă să facă compromisuri în prezentare pentru a obține viteză. Cu toate acestea, un instrument HIDS, atât rapid cât și bine prezentat, este cea mai bună ofertă.

HIDS și SIEM

Veți întâlni mult termenul SIEM atunci când veți investiga sistemele de securitate de rețea. Acest acronim înseamnă Informații de securitate și gestionarea evenimentelor. Acesta este un termen compus care a evoluat prin combinare Managementul informațiilor de securitate (SIM) și Managementul evenimentelor de securitate (SEM). Managementul informațiilor de securitate examinează fișierele jurnal și, prin urmare, este identic cu un HIDS. Managementul evenimentelor de securitate monitorizează datele live, ceea ce îl face echivalentul unui NIDS. Dacă implementați un sistem hibrid de detectare a intruziunilor, veți fi creat un SIEM.

Sisteme de prevenire a intruziunilor

Ca sistem de detectare a intruziunilor, HIDS este un element important al protecției rețelei. Cu toate acestea, nu oferă toate funcționalitățile de care aveți nevoie pentru a proteja datele companiei de furt sau daune. De asemenea, trebuie să fii capabil acționează asupra informațiilor pe care le furnizează un IDS.

Remedierea amenințărilor poate fi efectuată manual. Este posibil să aveți la dispoziție instrumente de gestionare a rețelei care vă vor ajuta în blocarea intrusilor. Cu toate acestea, conectarea detectării și remedierea împreună creează un Sistem de prevenire a intruziunilor (IPS).

Atât strategiile de detectare a intruziunii, cât și de prevenire a intruziunilor funcționează pe presupunerea că niciun firewall sau un sistem antivirus nu este infailibil. IDS este a doua linie de apărare și mulți experți în securitate IT avertizează acest lucru nimeni nu trebuie să se bazeze pe o strategie de protejare a rețelei la granițele ei deoarece orice sistem de securitate poate fi subminat prin greșeli ale utilizatorului sau activități rău intenționate ale angajaților.

„Sistemul de prevenire a intruziunilor” este un pic greșit, deoarece IPS închide încălcările de securitate odată ce au fost detectate, mai degrabă decât să facă un sistem atât de etanș încât nu ar putea să apară intruziune în primul rând..

Protecție avansată împotriva amenințărilor

Un alt termen pe care îl puteți vedea când abordați amenințări persistente avansate este ATP. Aceasta înseamnă Protecția Avansată împotriva Amenințărilor. În forma sa de bază, un sistem ATP este același cu un IDS. Cu toate acestea, unii furnizori de ATP subliniază inteligența amenințărilor ca o caracteristică definitorie a sistemelor lor. Inteligența amenințărilor este, de asemenea, o parte a definiției unui IDS și a unui sistem SIEM.

Într-un HIDS, informațiile despre amenințare se bazează pe baza de reguli a termenilor de căutare a datelor și a testelor de sistem care identifică activitatea dăunătoare. Acest lucru poate fi furnizat sub formă de verificări codificate sau reguli ajustabile stabilite ca politici. Inteligența amenințărilor poate fi, de asemenea, formulată în cadrul unui IDS prin AI. Cu toate acestea, strategiile de formare a politicilor sistemelor automatizate nu pot fi decât la fel de cuprinzătoare ca regulile de inferență care le sunt conectate la crearea lor.

Furnizorii de ATP subliniază serviciile lor centrale de conștientizare a amenințărilor ca o caracteristică definitorie. Aceste servicii sunt oferite fie ca abonament suplimentar la software-ul ATP, fie sunt incluse în prețul de achiziție. Aceasta este un element de partajare a informațiilor care permite furnizorului de software ATP să distribuie noi politici și reguli de detectare bazat pe identificarea cu succes a noilor vectori de atac de către alte organizații. Unii furnizori de HIDS includ acest serviciu, iar unii HIDS sunt susținuți de comunitățile de utilizatori care împărtășesc noi politici de detectare. Cu toate acestea, furnizorii de HIDS nu sunt la fel de puternici în acest element de distribuție a informațiilor despre amenințare a serviciilor lor ca furnizorii de ATP.

Metode de detectare a HIDS

Atât HIDS, cât și NIDS pot fi împărțiți în două subcategorii în funcție de metodele lor de detectare. Acestea sunt:

  • Detectarea bazată pe anomalii
  • Detectare bazată pe semnături

Nu există o mapare directă între SIDA și HIDS pentru niciuna din aceste două strategii. Adică, nu se poate spune că NIDS se bazează mai mult pe una dintre aceste metode, iar HIDS se referă la cealaltă metodologie de detectare. Atât HIDS, cât și NIDS pot utiliza oricare sau ambele strategii de detecție.

Un HIDS cu o strategie bazată pe semnături funcționează în același mod ca și sistemele antivirus; un NIDS bazat pe semnături funcționează ca un firewall. Adică, abordarea bazată pe semnătura caută tiparele în date. Un firewall caută cuvinte cheie, tipuri de pachete și activități de protocol pentru traficul de rețea care intră și iese, în timp ce un NIDS efectuează aceleași verificări asupra traficului care călătorește în rețea. Un program antivirus va căuta tipare de biți sau cuvinte cheie specifice în fișierele de programe și un HIDS face același lucru pentru fișierele jurnal.

O anomalie ar fi un comportament neașteptat de către un utilizator sau proces. Un exemplu în acest sens ar fi același utilizator care se conectează în rețea din Los Angeles, Hong Kong și Londra, în aceeași zi. Un alt exemplu ar fi dacă procesatorii unui server ar începe brusc să muncească din greu la 2:00 dimineața. Un HIDS bazat pe anomalii ar analiza fișierele jurnal pentru înregistrările acestor activități neobișnuite; un NIDS bazat pe anomalii ar încerca să detecteze aceste nereguli așa cum se întâmplă.

Ca și în cazul alegerii dintre SIDA și NIDS, decizia privind opțiunea de a depista pentru detectarea pe bază de semnătura sau IDS-urile bazate pe anomalii se rezolvă mergând pentru ambele.

Instrumente HIDS recomandate

Puteți restrânge căutarea pentru un sistem de detectare a intruziunilor bazat pe gazdă, citind recomandările noastre. Această listă reprezintă cea mai bună rasă pentru fiecare aspect al unui HIDS.

Tu vei gasi instrumente gratuite în listă, unele dintre ele au interfețe de utilizator foarte slabe, dar au ajuns pe listă, deoarece au viteze de procesare a datelor foarte rapide. Veți găsi, de asemenea, instrumente pe listă care includ proceduri generale de gestionare a fișierelor de jurnal și au fost scrise special pentru a respecta cele cunoscute standarde de securitate a datelor. Alte instrumente sunt cuprinzătoare și vă oferă tot ce aveți nevoie într-un HIDS, atât în ​​backend, cât și în interfață.

1. Manager de evenimente de securitate SolarWinds (ÎNCERCARE GRATUITĂ)

Solarwinds Log and Event Manager

SolarWinds a creat un HIDS care are capabilități de remediere automată, făcând din acesta un sistem de prevenire a intruziunilor, securitatea Manager de evenimente.  Instrumentul include rapoarte de audit al conformității pentru a vă ajuta să țineți evidența cu PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 și DISA STIG.

Caracteristicile de protecție a fișierelor de jurnal încorporate în acest utilitar includ criptarea în tranzit și stocare, precum și monitorizarea dosarului și a dosarului. Poti transmite mesaje jurnal și copie de rezervă sau arhiva foldere și fișiere întregi. Deci, caracteristicile de gestionare și integritate a fișierelor de jurnal ale acestui instrument sunt excepționale.

Instrumentul vă va monitoriza constant fișierele de jurnal, inclusiv cele care sunt încă deschise pentru înregistrări noi. Nu trebuie să emiteți interogări manual, deoarece Managerul de evenimente de securitate va genera alerte automat ori de câte ori este detectată o condiție de avertizare. Există, de asemenea, un instrument de analiză în cadrul pachetului care vă permite să efectuați verificări manuale privind integritatea datelor și intruziunea la fața locului cu un ochi uman.

Deși acest software se va instala doar pe Windows Server, va colecta date de jurnal de pe alte sisteme de operare, inclusiv Linux și Unix. Poți obține un proces gratuit de 30 de zile managerului de evenimente de securitate SolarWinds.

Manager de evenimente de securitate SolarWinds Descărcați încercarea GRATUITĂ de 30 de zile

2. Papertrail (PLAN GRATUIT) 

Captură de ecran Papertrail

SolarWinds rulează a Serviciul de gestionare a jurnalelor bazate pe cloud, numit Papertrail. Aceasta este un agregator de jurnal care centralizează stocarea fișierului dvs. jurnal. Papertrail poate gestiona Jurnalele de evenimente Windows, Mesaje Syslog, Fișiere jurnal server Apache, Mesajele programului Ruby on Rails, și notificări despre router și firewall. Mesajele pot fi vizualizate în direct în tabloul de bord al sistemului în timp ce călătoresc către fișierele jurnal. Pe lângă gestionarea fișierelor de jurnal, instrumentul include utilități de asistență analitică.

Datele de jurnal sunt criptate atât în ​​tranzit, cât și în repaus, iar accesul la fișierele de jurnal este protejat de autentificare. Fișierele dvs. sunt păstrate pe serverul Papertrail și SolarWinds are grijă de copii de rezervă și de arhivare, astfel puteți economisi bani la cumpărarea, administrarea și întreținerea serverelor de fișiere.

Papertrail angajează atât metode de detectare bazate pe anomalii, cât și semnături și veți beneficia de actualizări ale politicilor învățate în urma amenințărilor adresate altor clienți Papertrail. Puteți asambla, de asemenea, propriile dvs. reguli de detectare.

SolarWinds oferă Papertrail la abonament cu o serie de planuri, dintre care cel mai mic este gratuit.

SolarWinds Papertrail Log Aggregator Înscrieți-vă gratuit pentru planul aici

3. ManageEngine Event Log Analyzer (PROBALĂ GRATUITĂ)

ManageEngine Event Log Analyzer

Analizatorul de jurnal de evenimente ManageEngine este atât un HIDS, cât și un NIDS. Modulul de gestionare a jurnalului colectează și stochează Syslog și SNMP mesaje. De asemenea, sunt stocate metadate despre fiecare mesaj Syslog.

Fișierele jurnal sunt protejate atât de compresie cât și de criptare, iar accesul este protejat de autentificare. Backup-urile pot fi restaurate automat când analizorul detectează modificarea fișierului jurnal.

Tabloul de bord este personalizabil și diferite ecrane și funcții pot fi alocate diferitelor grupuri de utilizatori. Raportarea include audituri de conformitate pentru PCI DSS, FISMA și HIPAA, printre altele. De asemenea, puteți activa alerte privind conformitatea sistemului.

Analizatorul jurnalului de evenimente continuă ferestre sau Linux și se poate integra cu instrumentele de gestionare a infrastructurii ManageEngine. A Ediție gratuită din acest instrument este disponibil care permite până la 5 surse de jurnal. Puteți descărca, de asemenea, un 30 de zile de încercare gratuită din Editie premium. Pentru mai multe opțiuni de prețuri puteți contactați echipa de vânzări.

Gestionați Analizatorul jurnalului de evenimente Descărcați încercarea GRATUITĂ de 30 de zile

4. OSSEC

Captură de ecran OSSEC

OSSEC este un HIDS open source gratuit produs de Trend Micro. De asemenea, include funcții de monitorizare a sistemului care sunt atribuite în mod normal NIDS-urilor. Acesta este un procesor foarte eficient de date a fișierelor de jurnal, dar nu vine cu o interfață de utilizator. Majoritatea utilizatorilor pun Kibana sau Graylog pe partea frontală a OSSEC.

Acest instrument vă va organiza stocarea fișierelor de jurnal și va proteja fișierele împotriva modificărilor. Detectarea intruziunilor este bazată pe anomalie și este implementată prin „politici.”Aceste seturi de reguli pot fi achiziționate gratuit de la comunitatea utilizatorilor.

Software-ul OSSEC poate fi instalat pe ferestre, Linux, Unix, sau Mac OS. Monitorizează Jurnalele de evenimente Windows și de asemenea registrul. Acesta va păstra contul root pe Linux, Unix, și Mac OS. Asistența este disponibilă gratuit de comunitatea utilizatorilor activi sau puteți plăti Trend Micro pentru un pachet de asistență profesională.

5. Sagan

Captură de ecran Sagan

Sagan este un gratuit HIDS care se instalează pe Unix, Linux, și Mac OS. Este capabil să colecteze Jurnal de evenimente Windows mesaje, chiar dacă nu se rulează pe Windows. Puteți distribui procesarea Sagan pentru a păstra aerul în lumina procesorului serverului dvs. de jurnal. Sistemul folosește atât metode de detectare bazate pe anomalii, cât și semnături.

Puteți seta acțiuni să se producă automat atunci când este detectată o intruziune. Instrumentul are câteva caracteristici unice de care unii dintre cei mai proeminenți HIDS le lipsesc. Acestea includ o facilitate de geolocalizare IP care vă va permite să creșteți alerte atunci când activitățile de diferite adrese IP sunt urmărite către aceeași sursă geografică. Instrumentul vă permite, de asemenea, să setați reguli legate de timp pentru a declanșa alerte. Sistemul a fost scris pentru a fi compatibil cu sforăit, care este un sistem de detectare a rețelei, care oferă funcții Saga NIDS atunci când este combinat cu un colector de date din rețea. Sagan include o facilitate de executare a scriptului asta face ca acesta să fie un IPS.

6. Splunk

Splunk

Splunk oferă atât caracteristici HIDS, cât și NIDS. Pachetul de bază al acestui instrument este liber de utilizat și nu include nicio alertă de date bazată pe rețea, deci este un HIDS pur. Dacă sunteți în căutarea un HIDS bazat pe anomalie, aceasta este o opțiune foarte bună. Ediția de top a Splunk este numită Splunk Enterprise și există o versiune SaaS (Software-as-a-Service), care se numește Cloud Splunk. Între versiunea gratuită și ediția Enterprise se află Splunk Light, care are unele limitări de serviciu. Există, de asemenea, o versiune online a Splunk Light, numită Cloud Splunk Light.

Splunk are funcții de automatizare a fluxurilor de lucru care îl fac un sistem de prevenire a intruziunilor. Acest modul se numește Cadrul operațional adaptativ și leagă scripturile automatizate pentru a declanșa alerte. Automatizarea soluțiilor la problemele detectate este disponibilă numai cu opțiunile cu plată mai mare din Splunk.

Tabloul de bord al Splunk este foarte atractiv cu vizualizări de date, cum ar fi grafice liniare și diagrame. Sistemul include un analizator de date în toate edițiile din Splunk. Acest lucru vă permite să vizualizați înregistrări, să le rezumați, să le sortați și să le căutați și să le faceți reprezentate în grafice.

Toate nivelurile de Splunk rulează pe Windows, Linux și macOS. Puteți obține o probă gratuită de 30 de zile a Splunk Light, o probă gratuită de 60 de zile a Splunk Enterprise și o probă gratuită de 15 zile a Splunk Cloud.

Selectarea unui HIDS

Există atât de multe instrumente de gestionare a jurnalelor cu capacități de analiză disponibile pe piață încât puteți petrece foarte mult timp evaluând toate opțiunile dvs. HIDS. Cu lista din acest ghid, acum aveți o mulțime de cercetări făcute iar următorul pas este să vă concentrați pe acele instrumente care rulează pe sistemul de operare al serverului dvs. Dacă doriți să utilizați servicii bazate pe Cloud, atunci Papertrail și Splunk Cloud ar trebui să vă intereseze cel mai mult.

Din fericire, toate instrumentele din lista noastră sunt fie gratuite, fie sunt disponibile pe încercări gratuite, astfel încât să puteți instala câțiva candidați pentru a-i parcurge în pas, fără niciun risc financiar.

În prezent operezi un SIDA? Ce sistem ați ales? Credeți că este important să plătiți pentru un instrument sau sunteți fericit folosind un utilitar gratuit? Lasă un mesaj în Comentarii secțiunea de mai jos și împărtășește-ți experiențele cu comunitatea.

Imagine: Securitate IT de la Pixabay. Domeniu public.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 50 = 53