Објашњени системи за откривање упада на основу домаћина – 6 најбољих прегледаних ХИДС алата

6 најбољих ХИДС алата


Шта је ХИДС или Хост Систем Детецтион Систем?

ХИДС је акроним за систем детекције упада домаћина. Надгледаће рачунар / мрежу на којој је инсталиран у потрази за упадима и злоупотребом. Ако се нађе, регистроват ће активност и обавијестити администратора.

ХИДС је сличан употреби паметних сигурносних камера у вашем дому; ако би уљез провалио у вашу кућу, камера би започела снимање и послала упозорење на ваш мобилни уређај.

Ево наше листе шест најбољих ХИДС алата:

  1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНО ИСПИТИВАЊЕ) Одличан ХИДС са свеобухватним извештавањем о поштовању стандарда безбедности података. Ради на Виндовс серверу, али такође прикупља податке из Линук и Уник система.
  2. Папертраил (БЕСПЛАТНИ ПЛАН) Цлоуд-базирани агрегатор дневника из СоларВиндс-а, у бесплатној и плаћеној верзији.
  3. МанагеЕнгине анализатор дневника догађаја (БЕСПЛАТНО ИСПИТИВАЊЕ) Овај алат прегледава податке о датотекама дневника са Виндовс Сервера или Линук-а и додаје податке о претњи из других извора.
  4. ОССЕЦ Бесплатан процесор датотека датотеке који имплементира и стратегије детекције засноване на хосту и мрежи. Инсталира се на Виндовс, Линук, Уник и Мац ОС.
  5. Саган Бесплатан систем за откривање упада на бази домаћина који користи и стратегије и потписе и аномалије. Може да се покреће на Линуку, Унику и Мац ОС-у.
  6. Сплунк Бесплатан систем за откривање упада на бази домаћина са плаћеним издањем који укључује и мрежне методе. Инсталације на Виндовс, Линук и Мац ОС и тхее је такође верзија у облаку.

Откривање провале постала је важна метода заштите мрежа у циљу сузбијања сигурносних слабости својствених било којем систему који укључује људски елемент. Без обзира колико су јаке ваше смернице за приступ корисницима, хакери их увек могу заобићи тако што преваравају запосленика да обелодани приступне акредитиве.

Хакери који имају приступ могу годинама да окупирају корпоративни систем а да их не открију. Ова врста напада назива се ан Напредна упорна пријетња (ПОГОДАН). ИДС-ови посебно имају за циљ да искоријене АПТ-ове.

Алат ХИДС фокусиран је на надгледање датотека дневника. Већина апликација генерише поруке дневника и чување ових записа у датотекама омогућава вам да их претражујете током времена и уочите индикације упада. Велики проблем сакупљања сваке поруке дневника на вашем систему је то што ћете завршити велика количина података. Похрањивање порука дневника на уређени начин помаже вам да идентификујете праву датотеку за добијање података према апликацији и датуму. Дакле, први корак у могућности извуците смислене информације из свог система за евидентирање је да организујете називе датотека и структуру директорија вашег сервера датотека датотека.

Следећи корак у примени ХИДС-а је аутоматско откривање. ХИДС ће претраживати поруке путем дневника конкретни догађаји које изгледају као да су бележиле злонамерне активности. Ово је језгра ХИДС алата и метода детекције која одређује које записе треба да преузме политике и а база правила.

Многи ХИДС вам то дозвољавају напишите своја правила за генерисање упозорења. Међутим, оно што стварно тражите када одаберете безбедносни систем је скуп унапред написаних правила која укључују стручност безбедносних стручњака који пишу софтвер.

ХИДС је добар само колико и политике које пружа. Од вас се не може очекивати да пратите све најновије векторе напада, а истовремено посвећујете вријеме свакодневним задацима свог посла и нема смисла покушавати знати све ако то можете добити стручност коју вам пружа ХИДС алат.

Важност датотека дневника

Обим порука дневника и догађаја може бити неодољив и примамљиво је само игнорисати их. Међутим, ризик од парничног поступка изазваног откривањем података или штетом која се може нанијети пословању губитак података значи да неуспех у заштити података сада може уништити ваше пословање.

Питања сигурности и заштите података сада су постала интегрисани у захтеве уговора и постоје многи стандарди којих се индустрије сада придржавају да би уверили заинтересоване стране и задржали пословање сигурно. Усклађеност са стандардима интегритета података укључује захтеве за одржавање датотека датотека дневника.

Зависно од стандарда који ваше предузеће имплементира, морат ћете похранити датотеке дневника неколико година. Дакле, управљање датотекама дневника постало је важан пословни захтев. Док постављате сервер дневника, можда ћете и ви интегрисати мере безбедности у њу, и то је оно што ХИДС ради.

Безбедност датотека датотека

Одржавање интегритета датотеке дневника је суштински део ХИДС-а. Поруке догађаја могу препознати упад и тако су датотеке дневника мета хакера. Уљез може да прикрије своје записе манипулишући евиденцијама датотека како би уклонио инкриминирајуће записе. Стога, сервер за евиденцију који прави резервне копије датотека и проверава неовлашћене измене је важно за поштовање стандарда за сигурност података.

ХИДС системи не могу ефикасно заштитити ресурсе вашег система ако су његове изворне информације угрожене. Заштита датотека дневника се такође протеже на систем аутентификације ваше мреже. Ниједан аутоматизовани систем заштите датотека датотека не би могао да разликује овлашћени и неовлашћени приступ датотеци дневника без праћења сигурности корисничких дозвола.

ХИДС вс НИДС

Системи за откривање провале засновани на домаћину нису једине методе заштите од провале. Системи за откривање провале су подељени у две категорије. ХИДС је један од тих сектора, а други су мрежни системи за откривање провале.

И ХИДС и НИДС испитују системске поруке. Ово се односи и на гледање дневника и порука догађаја. Међутим, НИДС такође испитује пакетне податке док пролази дуж мрежа. Главно правило које дели одговорности за откривање упада између ове две методологије је да НИДС снима живе податке за откривање и ХИДС прегледа записе у датотекама.

Предност НИДС-а је што нуди бржи одговор од ХИДС-а. Чим се сумњиви догађај догоди на мрежи, НИДС би га требало уочити и подићи узбуну. Међутим, хакери су лукави и стално прилагођавају своје методе како би избјегли откривање. Неки обрасци активности постају очигледни као злонамерни ако се размотре у ширем контексту.

Да ли је боље добити ХИДС или НИДС, није велико питање, јер заиста су вам потребна оба.

Кључни атрибути ХИДС-а

Анализом историјских података о активностима, ХИДС је у стању да уочи обрасце активности који се дешавају током времена. Међутим, чак и на мрежама средње величине, количина дневних записа креираних на дневној бази може бити веома велика, па је важно одабрати ефикасан алат за сортирање и претраживање.

Ваш ХИДС неће бити вредно користити ако је преспор. Запамтите да стално се накупљају нови записи, тако да брзи ХИДС често може бити бољи од врло добро представљеног алата. Администратори паметних система радије праве компромисе у презентацији како би постигли брзину. Међутим, ХИДС алат који се брзо и добро представио је најбоља понуда од свих.

ХИДС и СИЕМ

Израз СИЕМ ћете доста срести када истражите мрежне безбедносне системе. Ова кратица је за Информације о безбедности и управљање догађајима. Ово је сложени појам који се развио комбиновањем Управљање безбедносним информацијама (СИМ) и Управљање сигурносним догађајима (СЕМ). Сигурносно управљање информационим подацима прегледа датотеке дневника, па је то исто као и ХИДС. Управљање сигурносним догађајима прати живе податке, што га чини еквивалентом НИДС-а. Ако имплементирате хибридни систем за откривање упада, креираћете СИЕМ.

Системи за спречавање провале

Као систем за откривање провале, ХИДС је важан елемент заштите мреже. Међутим, не пружа сву функционалност која вам је потребна како бисте заштитили податке ваше компаније од крађе или оштећења. То такође морате бити у могућности поступати на информацијама које пружа ИДС.

Санација претње може се извршити ручно. На располагању вам могу бити алати за управљање мрежама који ће вам помоћи у блокирању уљеза. Међутим, повезивањем детекције и санације заједно настаје систем за спречавање упада (ИПС).

И стратегије откривања провале и спречавања провале делују под претпоставком да ниједан фиревалл или антивирусни систем нису непогрешиви. ИДС је друга линија одбране и многи стручњаци за ИТ безбедност на то упозоравају нико се не треба ослонити на стратегију заштите мреже на њеним границама јер било који безбедносни систем може бити поткопан грешкама корисника или злонамерним активностима запослених.

„Систем за спречавање провале“ помало је погрешан назив, јер ИПС зауставља кршење безбедности након што су откривени, уместо да направи систем толико водонепропустан да се прво не може догодити упад..

Напредна заштита од претњи

Други израз који бисте могли видети када се обраћате напредним упорним претњама је АТП. Ово је напредна заштита од претњи. У свом основном облику, АТП систем је исти као ИДС. Међутим, неки АТП провајдери потенцирају обавештајне податке о претњама као дефинирајућу карактеристику њихових система. Интелигенција о претњи такође је део дефиниције ИДС-а и СИЕМ система.

У ХИДС-у, обавештајна претња се заснива на бази правила појмовима за претраживање података и системским тестовима који идентификују злонамерну активност. Ово се може пружити у облику кодираних чекова или подесивих правила која су постављена као политике. Интелигенција о претњи такође се може формулисати у оквиру ИДС-а путем АИ. Међутим, стратегије формирања политика аутоматизованих система могу бити толико свеобухватне колико и правила закључивања тешко улазе у њих приликом њиховог стварања..

АТП провајдери истичу своје централне услуге подизања свести о претњи као дефинитивно својство. Ове услуге се нуде или као додатна претплата на АТП софтвер или су укључене у набавну цену. Ово је елемент за размјену информација који омогућава пружаоцу софтвера АТП да дистрибуира нове политике и правила откривања заснована на успешном идентификовању нових вектора напада од стране других организација. Неки пружаоци услуга ХИДС-а укључују ову услугу, а неке од ХИДС-а подржавају заједнице корисника које деле нове политике откривања. Међутим, ХИДС провајдери нису тако снажни на овом елементу дистрибуције информација о претњама својих услуга као АТП провајдери.

Методе откривања ХИДС-а

И ХИДС и НИДС се према њиховим методама откривања могу поделити у две подкатегорије. Су:

  • Откривање засновано на аномалији
  • Детекција на основу потписа

Не постоји директно мапирање између НИДС-а и ХИДС-а ни за једну од ове двије стратегије. Односно, не може се рећи да се НИДС више ослања на једну од ових метода, а ХИДС је у вези с другом методологијом откривања. И ХИДС и НИДС могу користити једну или обе ове стратегије откривања.

ХИДС са стратегијом заснованом на потпису делује на исти начин као и антивирусни систем; НИДС на основу потписа функционише попут заштитног зида. То јест, приступ заснован на потпису тражи обрасце у подацима. Ватрозид тражи кључне речи, типове пакета и активности протокола на долазном и одлазном мрежном саобраћају, док НИДС врши исте провере промета који путује унутар мреже. Антивирусни програм ће тражити одређене обрасце бита или кључне речи у програмским датотекама, а ХИДС то исто ради за датотеке дневника.

Аномалија би била неочекивано понашање корисника или процеса. Примјер за то би био исти корисник који се истог дана на мрежи из Лос Ангелеса, Хонг Конга и Лондона пријављује на мрежу. Други пример би био да су процесори сервера изненада почели напорно да раде у 02:00 ујутро. ХИДС базиран на аномалији ће прегледавати датотеке дневника за евиденцију ових необичних активности; анкетични НИДС би покушао уочити те неправилности док се дешавају.

Као и код избора између ХИДС-а и НИДС-а, одлука о томе да ли да се иде за откривање засновано на потпису или ИДС-ови засновани на аномалији решава се тако што ћете ићи за обоје.

Препоручени ХИДС алати

Можете да сузите потрагу за системом детекције упада на основу домаћина читањем наших препорука. Ова листа представља најбоље пасмине за сваки аспект ХИДС-а.

Наћи ћете бесплатни алати на листи, од којих неки имају веома лоша корисничка сучеља, али су се уврстили на листу зато што имају веома велике брзине обраде података. На списку ћете такође наћи алате који укључују опште поступке управљања датотекама дневника и посебно су написани да би били у складу са добро познатим стандарди безбедности података. Остали алати су свеобухватни и дају вам све што је потребно за ХИДС и у позадини и у интерфејсу.

1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНА РЕКЛАМА)

Соларвиндс Лог и Евент Манагер

СоларВиндс је створио ХИДС који има аутоматизоване могућности санације, чинећи ово системом за спречавање провале, безбедношћу Евент Манагер.  Алат укључује извештаје о ревизији усклађености који вам помажу да пратите ПЦИ ДСС, СОКС, ХИПАА, ИСО, НЦУА, ФИСМА, ФЕРПА, ГЛБА, НЕРЦ ЦИП, ГПГ13 и ДИСА СТИГ.

Функције заштите датотека датотека које су уграђене у овај услужни програм укључују шифрирање током транзита и складиштења те надгледање контролне суме и датотека и датотека. Можете прослеђивање дневника порука и правите резервне копије или архивирајте целе фасцикле и датотеке. Дакле, управљање датотекама дневника и интегритете овог алата су изузетне.

Алат ће стално надзирати ваше датотеке дневника, укључујући оне које су још увијек отворене за нове записе. Не морате ручно да постављате упите, јер менаџер безбедносних догађаја аутоматски ће подизати упозорења кад год се открије стање упозорења. У пакету се налази и алат за анализу који вам омогућава ручно проверити интегритет података и упадати људским оком.

Иако ће се овај софтвер инсталирати само на Виндовс Серверу, он ће прикупљати податке дневника са других оперативних система, укључујући Линук и Уник. Можете добити 30-дневно бесплатно пробно време менаџера сигурносних догађаја СоларВиндс.

СоларВиндс Сецурити Евент МанагерПреузмите 30-дневну БЕСПЛАТНУ пробу

2. Папертраил (БЕСПЛАТНИ ПЛАН) 

Снимак екрана са Папертраил-ом

СоларВиндс покреће а Услуга управљања логом заснованим на облаку, под називом Папертраил. Ово је агрегатор записа која централише складиште датотека вашег дневника. Папертраил може да управља Дневници догађаја у систему Виндовс, Сислог поруке, Датотеке дневника сервера Апацхе, Поруке програма Руби он Раилс, и обавештења о рутеру и фиревалл-у. Поруке се могу гледати уживо на надзорној табли система док путују у датотеке дневника. Као и управљање датотекама дневника, алат укључује услужне програме за аналитичку подршку.

Подаци дневника се шифрирају и у транзиту и у мировању, а приступ лог датотекама чува се аутентификацијом. Ваше датотеке се чувају на Папертраил серверу и СоларВиндс брине о сигурносним копијама и архивирању, на тај начин можете уштедети новац на куповини, управљању и одржавању датотека датотека.

Папертраил запошљава и аномалије и методе детекције на основу потписа а ви имате користи од ажурирања смерница научених од претњи намењених другим купцима компаније Папертраил. Такође можете да саставите своја правила детекције.

СоларВиндс нуди Папертраил на претплату с низом планова, од којих је најнижа бесплатна.

СоларВиндс Папертраил Лог АггрегаторПријавите се БЕСПЛАТНИ план овде

3. МанагеЕнгине анализатор дневника догађаја (БЕСПЛАТНО ИСПИТИВАЊЕ)

МанагеЕнгине анализатор дневника догађаја

МанагеЕнгине анализатор дневника догађаја је и ХИДС и НИДС. Модул за управљање дневником сакупља и чува Сислог и СНМП поруке. Метаподаци о свакој Сислог поруци су такође сачувани.

Датотеке дневника заштићене су и компресијом и шифрирањем, а приступ је заштићен аутентификацијом. Резервне копије се могу аутоматски вратити када анализатор открива варање датотека дневника.

Инструментална табла је прилагодљива и различити екрани и функције могу се доделити различитим групама корисника. Извештавање укључује ревизију усаглашености за ПЦИ ДСС, ФИСМА и ХИПАА између осталих. Такође можете да активирате упозорења о усаглашености система.

Покреће се Анализатор дневника догађаја Виндовс или Линук и може да се интегрише са алатима за управљање инфраструктуром МанагеЕнгине. А Фрее Едитион овог алата је доступан омогућавајући само до 5 извора записа. Такође можете да преузмете 30-дневно бесплатно пробно време од Премиум Едитион. За додатне опције цена можете контактирајте њихов продајни тим.

МанагеЕнгине Евент Лог АнализерПреузмите 30-дневну БЕСПЛАТНУ пробну верзију

4. ОССЕЦ

Скриншот ОССЕЦ-а

ОССЕЦ је бесплатни опен соурце ХИДС произвела компанија Тренд Мицро. Такође укључује функције надгледања система које се обично приписују НИДС-овима. Ово је врло ефикасан процесор података датотека дневника, али не долази са корисничким интерфејсом. Већина корисника је ставила Кибана или Граилог на предњој страни ОССЕЦ-а.

Овај алат ће вам организовати записивање датотека и заштитити датотеке од неовлаштеног кршења. Откривање провале је засновано на аномалији и спроводи се путем „политике.„Ове скупове правила могу се бесплатно набавити од заједнице корисника.

ОССЕЦ софтвер се може инсталирати на Виндовс, Линук, Уник, или Мац ОС. Надгледа Дневници догађаја у систему Виндовс а такође и регистар. На њему ће се чувати роот налог Линук, Уник, и Мац ОС. Подршка је доступна из активне корисничке заједнице бесплатно или можете платити Тренд Мицро-у за професионални пакет подршке.

5. Саган

Саган снимак екрана

Саган је фрее ХИДС која се инсталира на Уник, Линук, и Мац ОС. Способна је да сакупља Дневник догађаја Виндовс поруке, иако се не покреће на Виндовс-у. Можете да дистрибуирате обраду Саган-а да бисте задржали режију светла ЦПУ-а вашег сервера дневника. Систем користи и аномалије и методе детекције на основу потписа.

Можете подесити да се акције аутоматски дешавају када се открије упад. Алат има неколико јединствених карактеристика које недостају неким од истакнутијих ХИДС-а. Ови укључују ИП локација за геолокацију који ће вам омогућити да подижете упозорења када се активности различитих ИП адреса прате на истом географском извору. Алат вам такође омогућава подешавање временски повезана правила за активирање упозорења. Систем је написан тако да је компатибилан са Снорт, који је систем детекције мреже, који пружа Сага НИДС могућности у комбинацији са мрежним сакупљачем података. Саган укључује алатка за извршавање скрипти због чега ово постаје ИПС.

6. Сплунк

Сплунк

Сплунк нуди и ХИДС и НИДС функције. Основни пакет овог алата је бесплатно коришћење и не укључује упозорења о подацима заснованим на мрежи, па је то чисти ХИДС. Ако тражите ХИДС на бази аномалије, ово је врло добра опција. Врховно издање Сплунк-а се зове Сплунк Ентерприсе а ту је и верзија софтвера као услуга (СааС) која се зове Сплунк Цлоуд. Између бесплатне верзије и Ентерприсе издања седи Сплунк Лигхт, која има одређена ограничења услуга. Постоји и интернетска верзија Сплунк Лигхт-а, под називом Сплунк Лигхт Цлоуд.

Сплунк има функције аутоматизације рада које га чине системом за спречавање провале. Овај модул се зове Прилагодљиви оперативни оквир а повезује аутоматизоване скрипте да активирају упозорења. Аутоматизација решења за откривене проблеме доступна је само код боље плаћених опција компаније Сплунк.

Контролна табла Сплунка је веома атрактивна визуализацијама података, као што су линијски графикони и питани графикони. Систем укључује анализатор података у свим издањима Сплунка. Ово вам омогућава да прегледате записе, сажете, сортирате и претражите их и представите их у графиконима.

Сви нивои Сплунк-а раде на Виндовс-у, Линук-у и мацОС-у. Можете добити 30-дневно бесплатно пробно коришћење Сплунк Лигхт-а, 60-дневно бесплатно пробно коришћење Сплунк Ентерприсе-а и 15-дневно бесплатно пробно коришћење Сплунк Цлоуд-а.

Избор ХИДС-а

На тржишту је толико алата за управљање записима са могућностима анализе, да бисте могли да проведете веома дуго времена процењујући све своје ХИДС могућности. Са списком у овом водичу, сада сте урадили пуно истраживања а следећи корак је фокусирање на оне алате који раде на оперативном систему вашег сервера. Ако желите да користите услуге засноване на облаку, тада би вас највише требало да занимају Папертраил и Сплунк Цлоуд.

Срећом, сви алати на нашој листи су бесплатни за употребу или су доступни на бесплатна суђења, тако да можете инсталирати неколико кандидата који ће их водити њиховим темпом без икаквог финансијског ризика.

Да ли тренутно оперишете ХИДС? За који систем сте се одлучили? Мислите ли да је важно платити алат или се радујете бесплатном услужном програму? Оставите поруку у Коментари одељак испод и поделите своја искуства са заједницом.

Слика: ИТ сигурност од Пикабаи-а. Јавни домен.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

13 + = 22