Objašnjeni sustavi za otkrivanje upada koji se temelje na domaćinu – pregledanih 6 najboljih alata HIDS

6 najboljih HIDS alata

Što je HIDS ili Host System Detection System?

HIDS je kratica za sustav detekcije upada domaćina. Pratit će računalo / mrežu na kojoj je instaliran u potrazi za upadima i zlouporabom. Ako se pronađe, zabilježit će aktivnost i obavijestiti administratora.

HIDS je sličan uporabi pametnih sigurnosnih kamera u vašem domu; ako bi uljez provalio u vašu kuću, kamera bi započela snimanje i poslala upozorenje na vaš mobilni uređaj.

Evo našeg popisa šest najboljih HIDS alata:

  1. Upravitelj sigurnosnih događaja SolarWinds (BESPLATNO ISPITIVANJE) Odličan HIDS s sveobuhvatnim izvještavanjem o poštovanju standarda sigurnosti podataka. Radi na Windows poslužitelju, ali također prikuplja podatke iz Linux i Unix sustava.
  2. Papertrail (BESPLATNI PLAN) Cloud-agregator za dnevnike SolarWinds u obje besplatne i plaćene verzije.
  3. ManageEngine analizator dnevnika događaja (BESPLATNO ISPITIVANJE) Ovaj alat ispituje podatke datoteka zapisa sa sustava Windows Server ili Linux i dodaje podatke o prijetnji iz drugih izvora.
  4. OSSEC Besplatni procesor datoteka datoteke koji provodi strategije otkrivanja temeljene na hostu i mreži. Instalira se na Windows, Linux, Unix i Mac OS.
  5. Sagan Besplatan sustav za otkrivanje upada koji se temelji na domaćinima i koristi strategije i potpisa i anomalije. Može se izvoditi na Linuxu, Unixu i Mac OS-u.
  6. Splunk Besplatan sustav za otkrivanje upada koji se temelji na domaćinima i plaćenim izdanjem koji uključuje i mrežne metode. Instalacije na Windows, Linux i Mac OS i thee je također verzija u oblaku.

Otkrivanje provale postala je važna metoda zaštite mreža u svrhu suzbijanja sigurnosnih slabosti svojstvenih bilo kojem sustavu koji uključuje ljudski element. Bez obzira koliko su jaka vaša pravila o pristupu korisnicima, hakeri ih se uvijek mogu zaobići tako što prevaravaju zaposlenika u otkrivanju pristupnih vjerodajnica.

Hakeri s pristupom mogu godinama zauzeti korporativni sustav, a da ga ne otkriju. Ova vrsta napada naziva se an Napredna uporna prijetnja (APT). IDS-ovi posebno imaju za cilj iskorijeniti APT-ove.

Alat HIDS fokusiran je na nadziranje datoteka zapisa. Većina aplikacija generira poruke dnevnika i spremanje ovih zapisa u datoteke omogućuje vam pretraživanje njih tijekom vremena i na licu mjesta koje ukazuju na upad. Veliki problem prikupljanja svake poruke dnevnika na vašem sustavu jest taj što ćete završiti velika količina podataka. Spremanje poruka dnevnika na uređeni način pomaže vam identificirati pravu datoteku za dobivanje podataka prema aplikaciji i datumu. Dakle, prvi korak u mogućnosti izvucite značajne informacije iz svog sustava za bilježenje je organiziranje imena datoteka i strukture direktorija vašeg poslužitelja datoteka.

Sljedeći korak u implementaciji HIDS-a je automatsko otkrivanje. HIDS će pretraživati ​​putem poruka dnevnika za konkretni događaji koji izgledaju kao da su zabilježili zlonamjernu aktivnost. To je jezgra alata HIDS i metoda otkrivanja koja određuje koje zapise trebate preuzeti politika i a baza pravila.

Mnogo HIDS-a vam to dopušta napisati vlastita pravila generiranja upozorenja. Međutim, ono što stvarno tražite kad odaberete sigurnosni sustav je skup unaprijed napisanih pravila koja uključuju stručnost sigurnosnih stručnjaka koji pišu softver.

A HIDS je dobar samo koliko i politike koje pruža. Od vas se ne može očekivati ​​da pratite sve najnovije vektore napada, a također posvećujete vrijeme svakodnevnim zadacima svog posla i nema smisla pokušavati znati sve ako to možete dobiti ekspertiza koju vam pruža HIDS alat.

Važnost datoteka dnevnika

Opseg poruka dnevnika i događaja može biti neodoljiv i primamljivo je samo ignorirati ih. Međutim, rizik sudskih sporova izazvanih otkrivanjem podataka ili šteta koja se može nanijeti poslovanju gubitak podataka znači da ako vam zaštita podataka sada ne može upropastiti posao.

Pitanja sigurnosti i zaštite podataka sada su postala integrirani u ugovorne zahtjeve i mnogi su standardi koje sada industrije slijede kako bi uvjerili dionike i zaštitili poslovanje. Sukladnost sa standardima integriteta podataka uključuje zahtjeve za održavanje datoteka.

Ovisno o tome koji standard implementira vaša tvrtka, morat ćete pohraniti datoteke dnevnika nekoliko godina. Dakle, upravljanje datotekama dnevnika postalo je važan poslovni zahtjev. Tijekom postavljanja poslužitelja dnevnika, mogli biste i vi integrirajte sigurnosne mjere u nju, i to je ono što radi HIDS.

Sigurnost datoteke datoteke

Održavanje integriteta datoteke dnevnika je važan dio HIDS-a. Poruke događaja mogu prepoznati upad i tako su datoteke dnevnika meta hakera. Uljez može pokriti njegove zapise manipuliranjem zapisnicima kako bi uklonio inkriminirajuće zapise. Stoga, poslužitelj dnevnika koji izrađuje sigurnosnu kopiju datoteka dnevnika i provjerava neovlaštene promjene Važno je za poštivanje standarda sigurnosti podataka.

HIDS sustavi ne mogu učinkovito zaštititi resurse vašeg sustava ako su ugrožene njegove izvorne informacije. Zaštita datoteka dnevnika odnosi se i na sustav provjere autentičnosti vaše mreže. Nijedan automatizirani sustav zaštite datoteka datoteka ne bi mogao razlikovati autorizirani i neovlašteni pristup datoteci dnevnika bez praćenja sigurnosti korisničkih dozvola..

HIDS vs NIDS

Sustavi za otkrivanje provale temeljeni na domaćinu nisu jedine metode zaštite od provale. Sustavi otkrivanja provale podijeljeni su u dvije kategorije. HIDS je jedan od tih sektora, a drugi su mrežni sustavi za otkrivanje provale.

I HIDS i NIDS ispituju sistemske poruke. To se odnosi i na gledanje dnevnika i poruka događaja. Međutim, NIDS također ispituje paketne podatke dok prolazi mrežama. Glavno pravilo koje razdvaja odgovornosti otkrivanja upada između ove dvije metodologije je da NIDS bilježi žive podatke za otkrivanje i HIDS pregledava zapise u datotekama.

Prednost NIDS-a je što nudi brži odgovor od HIDS-a. Čim se sumnjivi događaj dogodi na mreži, NIDS bi ga trebao uočiti i potaknuti uzbunu. Međutim, hakeri su lukavi i stalno prilagođavaju svoje metode kako bi izbjegli otkrivanje. Neki obrasci aktivnosti postaju prividni samo kao zlonamjerni ako se razmotre u širem kontekstu.

Je li bolje dobiti HIDS ili NIDS nije veliko pitanje jer zaista vam je potrebno i jedno i drugo.

Ključni atributi HIDS-a

Analizom povijesnih podataka o aktivnostima, HIDS je u stanju uočiti obrasce aktivnosti koji se pojavljuju s vremenom. Međutim, čak i na mrežama srednje veličine, količina dnevnih zapisa kreiranih na dnevnoj bazi može biti vrlo velika, stoga je važno odabrati učinkovit alat za razvrstavanje i pretraživanje.

Vaš HIDS neće biti vrijedan upotrebe ako je prespor. Zapamti to stalno se nakupljaju novi zapisi, pa brzi HIDS često može biti bolji od vrlo dobro prezentiranog alata. Administratori pametnih sustava radije prave kompromise u prezentaciji kako bi postigli brzinu. Međutim, HIDS alat koji se brzo i dobro predstavio je najbolja ponuda od svih.

HIDS i SIEM

Izraz SIEM susrećete se dosta prilikom istraživanja mrežnih sigurnosnih sustava. Ova kratica je za Sigurnosne informacije i upravljanje događajima. Ovo je složeni pojam koji se razvio kombiniranjem Upravljanje sigurnosnim informacijama (SIM) i Upravljanje sigurnosnim događajima (SEM). Sigurnosno upravljanje informacijskim datotekama ispituje datoteke dnevnika, pa je to isto kao i HIDS. Upravljanje sigurnosnim događajima prati žive podatke, što ga čini ekvivalentom NIDS-a. Ako implementirate hibridni sustav za otkrivanje upada, stvorit ćete SIEM.

Sustavi za sprječavanje provale

Kao sustav otkrivanja provale, HIDS je važan element zaštite mreže. No ne pruža sve potrebne funkcije kako biste zaštitili podatke vaše tvrtke od krađe ili oštećenja. Također morate biti u mogućnosti ponašati se na podacima koje IDS pruža.

Sanacija prijetnji može se provesti ručno. Na raspolaganju vam mogu biti alati za upravljanje mrežama koji će vam pomoći pri blokiranju uljeza. Međutim, povezivanjem otkrivanja i sanacije zajedno stvara se sustav za sprečavanje prodora (IPS).

Oboje otkrivanje provale i strategije sprečavanja provale djeluju na pretpostavku da nijedan vatrozid ili antivirusni sustav nisu nepogrešivi. IDS je druga linija obrane i mnogi stručnjaci za IT sigurnost upozoravaju na to nitko se ne smije pouzdati u strategiju zaštite mreže na njenim granicama jer bilo koji sigurnosni sustav može biti narušen greškama korisnika ili zlonamjernim aktivnostima zaposlenika.

"Sustav za sprečavanje provale" pomalo je pogrešan naziv, jer IPS prekida sigurnosna kršenja nakon što su otkriveni, umjesto da napravi sustav toliko vodonepropustan da se prije svega ne bi mogao dogoditi upad..

Napredna zaštita od prijetnji

Drugi izraz koji biste mogli vidjeti kada se obraćate naprednim upornim prijetnjama je ATP. Ovo je napredna zaštita od prijetnji. U svom osnovnom obliku, ATP sustav je isti kao IDS. Međutim, neki pružatelji ATP-a ističu inteligenciju prijetnji kao definirajuću karakteristiku svojih sustava. Inteligencija o prijetnji također je dio definicije IDS-a i SIEM sustava.

U slučaju HIDS-a, obavještajna prijetnja temelji se na bazi pravila pojmova za pretraživanje podataka i sistemskih testova koji identificiraju zlonamjernu aktivnost. To se može pružiti u obliku kodiranih provjera ili prilagodljivih pravila koja su postavljena kao pravila. Inteligencija o prijetnji također se može formulirati u IDS-u putem AI. Međutim, strategije oblikovanja politike automatiziranih sustava mogu biti toliko sveobuhvatne koliko i pravila zaključivanja teško ih uvode u njihovo stvaranje..

ATP pružatelji usluga ističu svoje središnje usluge upoznavanja s prijetnjama kao definirajuću značajku. Ove se usluge nude ili kao dodatna pretplata na ATP softver ili su uključene u otkupnu cijenu. Ovo je element dijeljenja informacija koji pružatelju softvera ATP omogućuje distribuciju novih pravila i pravila otkrivanja na temelju uspješne identifikacije novih vektora napada od strane drugih organizacija. Neki pružatelji usluga HIDS-a uključuju ovu uslugu, a neke su podržane od strane korisničkih zajednica koje dijele nove politike otkrivanja. Međutim, HIDS pružatelji usluga nisu toliko snažni na ovom elementu distribucije informacija o prijetnji kao njihovi pružatelji ATP.

Metode otkrivanja HIDS-a

I HIDS i NIDS prema njihovim metodama otkrivanja mogu se podijeliti u dvije potkategorije. Ovi su:

  • Otkrivanje temeljeno na anomaliji
  • Otkrivanje na temelju potpisa

Ne postoji izravno mapiranje između NIDS-a i HIDS-a za nijednu od ove dvije strategije. Odnosno, ne može se reći da se NIDS više oslanja na jednu od tih metoda, a HIDS se temelji na drugoj metodologiji otkrivanja. I HIDS i NIDS mogu koristiti jednu ili obje ove strategije otkrivanja.

HIDS sa strategijom temeljenom na potpisu djeluje na isti način kao i antivirusni sustavi; NIDS na temelju potpisa djeluje poput vatrozida. To jest, pristup zasnovan na potpisu traži obrasce u podacima. Vatrozid traži ključne riječi, vrste paketa i aktivnosti protokola na dolaznom i odlaznom mrežnom prometu, dok NIDS obavlja iste provjere prometa koji prometuje unutar mreže. Protuvirusni program tražit će specifične obrasce bita ili ključne riječi u programskim datotekama, a HIDS to isto čini i za datoteke dnevnika.

Anomalija bi bila neočekivano ponašanje korisnika ili procesa. Primjer za to bi bio isti korisnik koji se istog dana na mreži iz Los Angelesa, Hong Konga i Londona prijavljuje u mrežu. Drugi primjer bi bio da su procesori poslužitelja odjednom počeli naporno raditi u 02:00 ujutro. HIDS koji se temelji na anomaliji pregledavao bi datoteke dnevnika za evidenciju ovih neobičnih aktivnosti; anksiozni NIDS bi pokušao uočiti te nepravilnosti dok se događaju.

Kao i kod izbora između HIDS-a i NIDS-a, odluka o tome hoće li se ići za otkrivanje temeljeno na potpisu ili IDS-u temeljeno na anomaliji rješava se tako što će se oba dogoditi.

Preporučeni alati HIDS

Možete suziti traženje sustava za otkrivanje upada koji se temelji na domaćinu čitanjem naših preporuka. Ovaj popis predstavlja najbolje pasmine za svaki aspekt HIDS-a.

Naći ćete besplatni alati na popisu, od kojih neki imaju vrlo loša korisnička sučelja, ali to su učinili na popisu jer imaju vrlo velike brzine obrade podataka. Na popisu ćete također pronaći alate koji uključuju opće postupke upravljanja datotekama dnevnika i posebno su napisani da bi se slagali sa dobro poznatim standardi sigurnosti podataka. Ostali su alati sveobuhvatni i daju vam sve što trebate za HIDS i u pozadini i u sučelju.

1. SolarWinds Security Event Manager (BESPLATNO ISPITIVANJE)

Solarwinds Dnevnik i Upravitelj događaja

SolarWinds je stvorio HIDS koji ima automatizirane mogućnosti sanacije, čineći ovaj sustav za sprječavanje provale, sigurnost Event Manager.  Alat uključuje izvješća o reviziji usklađenosti koja vam pomažu da pratite PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 i DISA STIG.

Značajke zaštite datoteka datoteke koje su ugrađene u ovaj uslužni program uključuju šifriranje tijekom prijenosa i pohrane te nadgledanje provjere mape i datoteka. Možeš naprijed dnevnik poruka i sigurnosna kopija ili arhiviranje cijelih mapa i datoteka. Dakle, značajke upravljanja datotekama zapisa i integriteta ovog alata su iznimne.

Alat će stalno nadzirati vaše datoteke dnevnika, uključujući i one koje su još uvijek otvorene za nove zapise. Ne morate postavljati upite ručno, jer Upravitelj sigurnosnih događaja automatski će podizati upozorenja kad god se otkrije stanje upozorenja. Unutar paketa se nalazi i alat za analizu koji vam omogućuje ručno provjeravanje integriteta podataka i upada u oči ljudskim očima.

Iako će se ovaj softver instalirati samo na Windows Server, on će prikupljati podatke dnevnika s drugih operativnih sustava, uključujući Linux i Unix. Možeš dobiti 30-dnevno besplatno probno razdoblje Upravitelja sigurnosnih događaja SolarWinds.

SolarWinds Security Event ManagerReloading 30-dnevna BESPLATNA probna verzija

2. Bočna letva (BESPLATNI PLAN) 

Snimka zaslona Papertrail

SolarWinds pokreće a Usluga upravljanja temeljenim na oblaku, nazvana Papertrail. Ovo je agregator zapisa koja centralizira pohranu vaše datoteke zapisa. Papertrail može upravljati Dnevnici događaja u sustavu Windows, Syslog poruke, Datoteke dnevnika poslužitelja Apache, Poruke programa Ruby on Rails, i obavijesti o usmjerivaču i vatrozidu. Poruke se mogu pregledavati uživo na nadzornoj ploči sustava dok putuju u datoteke dnevnika. Osim upravljanja datotekama dnevnika, alat uključuje analitičke programe za podršku.

Podaci dnevnika šifriraju se i u tranzitu i u mirovanju, a pristup zapisničkim datotekama čuva se autentifikacijom. Vaše se datoteke čuvaju na poslužitelju Papertrail i SolarWinds brine o sigurnosnim kopijama i arhiviranju, tako da možete uštedjeti novac na kupnji, upravljanju i održavanju datotečnih poslužitelja.

Papertrail zapošljava i anomalije i metode otkrivanja na temelju potpisa a imate koristi od ažuriranja pravila naučenih od prijetnji namijenjenih drugim kupcima Papertraila. Možete i sastaviti vlastita pravila otkrivanja.

SolarWinds nudi Papertrail na pretplatu s nizom planova, od kojih je najniža besplatna.

SolarWinds Papertrail Log AggregatorPrijavite se BESPLATNI plan ovdje

3. ManageEngine analizator dnevnika događaja (BESPLATNO ISPITIVANJE)

ManageEngine analizator dnevnika događaja

ManageEngine analizator dnevnika događaja je i HIDS i NIDS. Modul za upravljanje dnevnikom sakuplja i pohranjuje Syslog i SNMP poruke. Metapodatci o svakoj poruci Syslog su također pohranjeni.

Datoteke dnevnika zaštićene su i kompresijom i enkripcijom, a pristup je zaštićen autentifikacijom. Rezervne kopije mogu se automatski vratiti kada analizator otkrije varanje datoteka dnevnika.

Nadzorna ploča je prilagodljiva i različiti se zasloni i značajke mogu dodijeliti različitim korisničkim skupinama. Izvještavanje uključuje reviziju usklađenosti za PCI DSS, FISMA i HIPAA. Također možete aktivirati upozorenja o usklađenosti sustava.

Pokreće se analizator dnevnika događaja Windows ili Linux i može se integrirati s alatima za upravljanje infrastrukturom ManageEngine. Besplatno izdanje ovog alata dostupan je samo s dopuštanjem do 5 izvora dnevnika. Također možete preuzeti 30-dnevno besplatno probno razdoblje od Premium izdanje. Više opcija za cijene možete kontaktirajte njihov prodajni tim.

ManageEngine Event Log AnalyzerPreuzmite 30-dnevnu BESPLATNU probnu inačicu

4. OSSEC

OSSEC snimka zaslona

OSSEC je besplatni open source HIDS proizvela tvrtka Trend Micro. Također uključuje značajke praćenja sustava koje se obično pripisuju NIDS-ovima. Ovo je vrlo učinkovit procesor podataka datoteka dnevnika, ali ne dolazi s korisničkim sučeljem. Većina korisnika stavi Kibana ili Graylog na prednjoj strani OSSEC-a.

Ovaj alat će vam organizirati pohranu datoteka i zaštititi datoteke od neovlaštenog mijenjanja. Otkrivanje provale provodi se na anomaliji i provodi se putem „politika.„Ove sete pravila mogu besplatno dobiti od korisničke zajednice.

OSSEC softver se može instalirati na Windows, Linux, Unix, ili Mac OS. Nadgleda Dnevnici događaja u sustavu Windows a također i registar. Na njemu će se čuvati korijenski račun Linux, Unix, i Mac OS. Podrška je dostupna besplatno iz aktivne zajednice korisnika ili možete platiti Trend Micro za profesionalni paket podrške.

5. Sagan

Saganova snimka zaslona

Sagan je a besplatno HIDS koja se instalira na Unix, Linux, i Mac OS. Sposobna je sakupljati Dnevnik događaja u sustavu Windows poruke, iako se ne radi na Windows-u. Možete distribuirati obradu Sagan-a da bi se održala radna snaga na svjetlu CPU-a vašeg poslužitelja dnevnika. Sustav koristi i anomalije i metode otkrivanja na temelju potpisa.

Možete postaviti radnje koje se automatski događaju kada se otkrije upada. Alat ima nekoliko jedinstvenih značajki koje nedostaju nekim od istaknutijih HIDS-a. Oni uključuju IP geolokacijski objekt koji će vam omogućiti podizanje upozorenja kada se aktivnosti različitih IP adresa prate na istom zemljopisnom izvoru. Alat vam također omogućuje postavljanje pravila vezana uz vrijeme za aktiviranje upozorenja. Sustav je napisan kako bi bio kompatibilan s frka, koji je mrežni sustav za otkrivanje, pružajući Saga NIDS mogućnosti u kombinaciji s mrežnim sakupljačem podataka. Sagan uključuje objekt za izvršavanje skripte što ovo čini IPS-om.

6. Splunk

Splunk

Splunk nudi i HIDS i NIDS značajke. Osnovni paket ovog alata je besplatno korištenje i ne uključuje nikakve mrežne upozorenja, pa je to čisti HIDS. Ako tražite HIDS-temeljen na anomaliji, ovo je vrlo dobra opcija. Nazvano je vrhunsko izdanje Splunka Splunk Enterprise a tu se nalazi i verzija softvera kao usluga (SaaS) koja se zove Splunk Cloud. Između besplatne verzije i Enterprise izdanja sjedi Splunk Light, što ima određena ograničenja usluga. Postoji i internetska inačica Splunk Light-a, pod nazivom Splunk Light Cloud.

Splunk ima značajke za automatizaciju rada koje ga čine sustavom za sprečavanje provale. Taj se modul naziva Prilagodljivi operativni okvir a povezuje automatizirane skripte za pokretanje upozorenja. Automatizacija rješenja otkrivenih problema dostupna je samo s već plaćenim opcijama Splunka.

Nadzorna ploča Splunka vrlo je atraktivna s vizualizacijama podataka kao što su linijski grafikoni i pie grafikoni. Sustav uključuje analizator podataka u svim izdanjima Splunka. To vam omogućuje pregled zapisa, sažetak, sortiranje i pretraživanje te ih predstavite u grafovima.

Sve razine Splunka rade u sustavu Windows, Linux i macOS. Možete dobiti 30-dnevno besplatno probno razdoblje Splunk Light-a, 60-dnevno besplatno probno razdoblje Splunk Enterprise-a i 15-dnevno besplatno probno razdoblje Splunk Cloud-a..

Odabir HIDS-a

Na tržištu je toliko alata za upravljanje zapisima sa mogućnostima analize, da biste mogli provesti vrlo dugo procjenjujući sve svoje HIDS mogućnosti. Uz popis u ovom vodiču, sada imate puno istraživanja i sljedeći je korak usredotočiti se na one alate koji rade na operacijskom sustavu vašeg poslužitelja. Ako želite koristiti usluge temeljene na oblaku, tada bi vas najviše trebali zanimati Papertrail i Splunk Cloud.

Srećom, svi alati na našem popisu su besplatni za upotrebu ili su dostupni na besplatna suđenja, tako da možete instalirati nekoliko kandidata koji će ih voditi njihovim tempom bez ikakvog financijskog rizika.

Trenutno operirate HIDS? Za koji ste se sustav odlučili? Mislite li da je važno platiti alat ili ste sretni što koristite besplatni uslužni program? Ostavite poruku u komentari odjeljak ispod i podijelite svoja iskustva sa zajednicom.

Slika: IT sigurnost iz Pixabaya. Javna domena.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 72 = 73

Adblock
detector