Пояснені системи виявлення вторгнень на основі господаря – розглянутий 6 найкращих інструментів HIDS

6 кращих інструментів HIDS


Що таке система HIDS або Host Intrusion Detection (Система виявлення вторгнень у хазяїн)?

HIDS – це абревіатура для системи виявлення вторгнення хазяїна. Він буде контролювати комп’ютер / мережу, на якій він встановлений, шукаючи як вторгнення, так і неправильне використання. Якщо він знайдеться, він зареєструє активність та повідомить адміністратора.

HIDS подібний до використання смарт-камер безпеки у вашому домі; якби зловмисник увірвався у ваш будинок, камера почне записувати та надсилати сповіщення на ваш мобільний пристрій.

Ось наш список шість найкращих інструментів HIDS:

  1. Менеджер подій SolarWinds Security (БЕЗКОШТОВНА ПРОБЛЕМА) Відмінна HIDS з всебічною звітністю щодо дотримання стандартів безпеки даних. Працює на сервері Windows, але також збирає дані з систем Linux та Unix.
  2. Papertrail (БЕЗКОШТОВНИЙ ПЛАН) Хмарний агрегатор журналів від SolarWinds у безкоштовних та платних версіях.
  3. ManageEngine Аналізатор журналів подій (БЕЗКОШТОВНА ПРОБЛЕМА) Цей інструмент вивчає дані файлів журналу з Windows Server або Linux та додає інформацію про загрози з інших джерел.
  4. OSSEC Безкоштовний процесор файлів журналу, який реалізує як хост, так і мережеві стратегії виявлення. Встановлюється в Windows, Linux, Unix та Mac OS.
  5. Саган Безкоштовна система виявлення вторгнень на основі хоста, яка використовує як підписи, так і стратегії на основі аномалії. Може працювати в Linux, Unix та Mac OS.
  6. Сплин Безкоштовна хост-система виявлення вторгнень із платним виданням, що включає також мережеві методи. Встановлення в Windows, Linux та Mac OS і thee також є хмарною версією.

Виявлення вторгнень стало важливим методом захисту мереж з метою боротьби з недоліками безпеки, властивими будь-якій системі, що включає людський елемент. Незалежно від того, наскільки сильні ваші політики доступу до користувачів, хакери завжди можуть обійти їх, обманувши працівника в розголошенні даних про доступ.

Хакери з доступом можуть окупувати корпоративну систему роками, не виявляючи їх. Цей тип атаки називається ан Прогресивна наполеглива загроза (APT). Ідентифікатори спеціально мають на меті викорінити APT.

Інструмент HIDS фокусується на моніторингу файлів журналів. Більшість додатків генерують журнали повідомлень, а зберігання цих записів у файлах дає змогу шукати їх через час та виявляти вказівки на вторгнення. Однією з великих проблем збирання кожного журналу повідомлення у вашій системі є те, що ви закінчите великий обсяг даних. Зберігання повідомлень журналу впорядкованому способі допомагає визначити правильний файл для отримання даних за заявою та датою. Отже, перший крок у змозі зробити отримуйте змістовну інформацію зі своєї системи реєстрації полягає в організації імен файлів та структури каталогів вашого файлового сервера журналів.

Наступним кроком у впровадженні HIDS є отримання автоматизованого виявлення. HIDS здійснюватиме пошук за повідомленнями журналу конкретні події які виглядають так, ніби вони зафіксували зловмисну ​​активність. Це серцевина інструменту HIDS та метод виявлення, який визначає, які записи слід вибирати політики і а базування правил.

Багато HIDS дозволяють вам це робити написати власні правила генерування попередження. Однак те, що ви дійсно шукаєте, обираючи систему безпеки, – це набір заздалегідь написаних правил, які містять досвід експертів із безпеки, які пишуть програмне забезпечення.

СНІД є настільки ж хорошим, як і політики, які він надає. Не можна очікувати, що ви будете в курсі всіх останніх векторів нападу, при цьому приділяючи час повсякденним завданням своєї роботи, і немає сенсу намагатися знати все, чи зможете ви це отримати експертиза наданий вам як інструмент HIDS.

Важливість файлів журналів

Обсяг повідомлень про журнали та події може бути величезним, і спокусити їх просто ігнорувати. Однак ризик судових процесів, викликаних оприлюдненням даних, або збиток, який може бути заподіяний бізнесу втрата даних означає, що невдача захисту даних тепер може зруйнувати ваш бізнес.

Питання безпеки та захисту даних тепер стали проблемами інтегрована до вимог контракту і існує низка стандартів, яких зараз дотримуються галузі, щоб заспокоїти зацікавлених сторін та забезпечити безпеку бізнесу. Відповідність стандартам цілісності даних включає вимоги щодо обслуговування файлів журналу.

Залежно від того, який стандарт впроваджує ваша компанія, вам потрібно буде зберігати файли журналів протягом декількох років. Отже, управління файлами журналів тепер стало важливою вимогою бізнесу. Під час налаштування сервера журналів ви також можете інтегрувати в неї заходи безпеки, і це те, що робить HIDS.

Захист файлу журналу

Підтримка цілісності файлів журналу є важлива частина СНІДу. Повідомлення подій можуть ідентифікувати вторгнення, тому файли журналів – цілі для хакерів. Зловмисник може прикрити свої сліди, маніпулюючи файлами журналів, щоб видалити звинувачувальні записи. Тому, сервер журналів, який створює резервні копії файлів журналів і перевіряє несанкціоновані зміни важливо для дотримання стандартів безпеки даних.

Системи HIDS не можуть ефективно захищати ресурси вашої системи, якщо її вихідна інформація порушена. Захист файлів журналів також поширюється на систему аутентифікації вашої мережі. Жодна автоматизована система захисту файлів журналів не змогла б розрізняти дозволений та несанкціонований доступ до файлів журналу, не також контролюючи безпеку дозволів користувача.

HIDS vs NIDS

Системи виявлення вторгнень на основі хоста – не єдині методи захисту від вторгнення. Системи виявлення вторгнень поділяються на дві категорії. HIDS є одним із цих секторів, інший – мережевими системами виявлення вторгнень.

І HIDS, і NIDS вивчають системні повідомлення. Це дорівнює як перегляду журналів, так і повідомлень про події. Однак, NIDS також вивчає пакетні дані як це проходить по мережах. Основне правило, яке розділяє обов’язки виявлення вторгнень між цими двома методологіями, полягає в тому, що NIDS фіксує живі дані для виявлення та HIDS вивчає записи у файлах.

Перевага NIDS полягає в тому, що він пропонує швидший відповідь, ніж HIDS. Як тільки в мережі трапляється підозріла подія, СНІД повинен помітити її та підняти попередження. Однак хакери підступні і постійно коригують свої методи, щоб уникнути виявлення. Деякі зразки діяльності стають очевидними як зловмисні, коли розглядаються в більш широкому контексті.

Незалежно від того, чи краще заразитися на СНІД чи СНІД – це не велика проблема, тому що вам справді потрібно обоє.

Основні атрибути HIDS

Аналізуючи історичні дані про діяльність, ВІЛ дозволяє виявити закономірності діяльності, які виникають з часом. Однак навіть у мережах середнього розміру, обсяги журналів, що генеруються щодня, можуть бути дуже великими, тому важливо вибрати ефективний інструмент для сортування та пошуку.

Ваш HIDS не варто використовувати, якщо він занадто повільний. Пам’ятайте, що нові записи накопичуються постійно, тому швидкий СНІД часто може бути кращим, ніж дуже добре представлений інструмент. Розумні системні адміністратори вважають за краще йти на компроміс у презентації, щоб отримати швидкість. Однак найкращий уклад для всіх – інструмент HIDS, який швидко і добре представлений.

HIDS та SIEM

Термін SIEM ви будете стикатися, коли ви досліджуєте системи мережевої безпеки. Ця абревіатура означає Інформація про безпеку та управління подіями. Це складений термін, який склався поєднанням Управління інформацією про безпеку (SIM) і Управління подіями з безпеки (SEM). Управління інформацією про безпеку вивчає файли журналів, і тому це те саме, що і HIDS. Управління подіями безпеки контролює живі дані, роблячи їх еквівалентом СНІДу. Якщо ви впровадите гібридну систему виявлення вторгнень, ви створили SIEM.

Системи запобігання вторгнень

Як система виявлення вторгнень, HIDS є важливим елементом захисту мережі. Однак він не забезпечує всю функціональність, яка вам потрібна для захисту даних вашої компанії від крадіжок або пошкоджень. Вам також потрібно вміти діяти на інформації, яку надає IDS.

Усунення загрози можна здійснити вручну. У вашому розпорядженні можуть бути інструменти управління мережею, які допоможуть вам заблокувати зловмисників. Однак з’єднання виявлення та відновлення разом створює система запобігання вторгнень (IPS).

Як стратегії виявлення вторгнень, так і запобігання вторгненням працюють на припущенні, що жоден брандмауер чи антивірусна система не є безпомилковими. IDS є другою лінією оборони, і багато експертів з безпеки ІТ попереджають про це ніхто не повинен покладатися на стратегію захисту мережі на її межах оскільки будь-яка система безпеки може бути підірвана помилками користувачів або шкідливими діями співробітників.

“Система запобігання вторгнень” є дещо помилкою, оскільки IPS закриває порушення безпеки після їх виявлення, а не робить систему настільки водонепроникною, що в першу чергу не може виникнути вторгнення..

Розширений захист від загрози

Ще один термін, який ви можете побачити, коли ви звертаєтесь до розширених постійних загроз – це ATP. Це означає розширений захист від загрози. У своїй базовій формі система ATP така ж, як і IDS. Однак деякі постачальники ATP підкреслюють інформацію про загрозу як визначальну характеристику їхніх систем. Розвідка про загрозу також є частиною визначення IDS та системи SIEM.

У системі HIDS розвідка про загрози ґрунтується на базі правил термінів пошуку даних та системних тестів, що виявляють шкідливу діяльність. Це може бути надано у вигляді кодованих чеків або регульованих правил, встановлених як політик. Інформація про загрозу також може бути сформульована в рамках ІДС через ШІ. Однак стратегії формування політики автоматизованих систем можуть бути настільки ж всеохоплюючими, як і правила виводу, що проводяться до них при їх створенні..

Провайдери АТП наголошують на своїх центральних службах поінформованості про загрозу як визначальну особливість. Ці послуги пропонуються або в якості додаткової підписки на програмне забезпечення ATP, або включаються в ціну придбання. Це є елемент обміну інформацією, який дозволяє постачальнику програмного забезпечення ATP розповсюджувати нові політики та правила виявлення заснований на успішному виявленні нових векторів нападу іншими організаціями. Деякі постачальники HIDS включають цю послугу, а деякі HIDS підтримуються спільнотами користувачів, які поділяють нові політики виявлення. Однак постачальники HIDS не настільки сильні щодо цього елементу розповсюдження інформації про загрози, як постачальники ATP.

Методи виявлення СНІДу

І HIDS, і СНІД можна розділити на дві підкатегорії відповідно до методів їх виявлення. Це:

  • Виявлення на основі аномалії
  • Виявлення на основі підпису

Не існує прямого відображення між СНІД та СНІДом для жодної з цих двох стратегій. Тобто не можна сказати, що NIDS більше покладається на один із цих методів, а HIDS – це все на іншу методологію виявлення. І HIDS, і NIDS можуть використовувати одну або обидві ці стратегії виявлення.

ВІЛ із стратегією на основі підпису працює так само, як антивірусні системи; NIDS на основі підписів працює як брандмауер. Тобто підхід на основі підпису шукає шаблони даних. Брандмауер шукає ключові слова, типи пакетів та активність протоколу щодо вхідного та вихідного мережевого трафіку, тоді як NIDS виконує ті ж перевірки трафіку, що подорожує всередині мережі. Антивірусна програма шукатиме конкретні бітові шаблони або ключові слова у програмних файлах, а HIDS робить те саме для файлів журналів.

Аномалія буде несподіваною поведінкою користувача чи процесу. Прикладом цього може бути той самий користувач, який увійшов в мережу з Лос-Анджелеса, Гонконгу та Лондона, все в той же день. Іншим прикладом може бути, якщо процесори сервера раптово почали наполегливо працювати о 2:00 ранку. HIDS на основі аномалії буде шукати файли журналів для записів цих незвичайних дій; ННІД на основі аномалії намагатиметься виявити ці порушення, як вони трапляються.

Як і у випадку вибору між HIDS та NIDS, рішення про те, чи потрібно йти на виявлення на основі підпису або IDS на основі аномалії, вирішується шляхом вибору обох.

Рекомендовані засоби HIDS

Ви можете звузити пошук на основі системи виявлення вторгнень на основі хоста, прочитавши наші рекомендації. Цей список представляє найкращі породи для кожного аспекту ВІЛ.

Ви знайдете безкоштовні інструменти у списку, деякі з яких мають дуже поганий інтерфейс користувача, але внесли його до списку, оскільки мають дуже високу швидкість обробки даних. У списку ви також знайдете інструменти, які включають загальні процедури управління файлами журналів і спеціально написані для відповідності загальновідомим стандарти безпеки даних. Інші інструменти є всеосяжними та дають вам все необхідне для HIDS як у складі, так і в інтерфейсі.

1. SolarWinds Security Event Manager (БЕЗКОШТОВНИЙ ПЕРІОД ВИПРОБОВУВАННЯ)

Журнал і менеджер подій Solarwinds

SolarWinds створив HIDS, який має автоматизовані можливості відновлення, роблячи це системою запобігання вторгнень, Безпеці Менеджер подій.  Інструмент включає звіти про аудит відповідності, які допоможуть вам слідкувати за PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 та DISA STIG.

Функції захисту файлів журналу, вбудовані в цю утиліту, включають шифрування під час транзиту та зберігання та моніторинг контрольної суми папок та файлів. Ти можеш переслати повідомлення журналу вперед і резервне копіювання або архівування цілих папок і файлів. Отже, функції управління файлами журналу та цілісність цього інструменту є винятковими.

Інструмент буде постійно контролювати ваші журнали файлів, включаючи ті, які ще відкриті для нових записів. Вам не доведеться задавати запити вручну, тому що менеджер подій безпеки підніме сповіщення автоматично кожного разу, коли буде виявлено попереджувальний стан. У пакеті також є інструмент аналізу, який дозволяє вам здійснювати вручну перевірку цілісності даних та вторгнення в очі людським оком.

Хоча це програмне забезпечення буде встановлено лише на Windows Server, воно збиратиме дані журналу з інших операційних систем, включаючи Linux та Unix. Ти можеш отримати 30-денний безкоштовний пробний період менеджера подій безпеки SolarWinds.

SolarWinds Security Event ManagerЗавантажте 30-денну безкоштовну пробну версію

2. Шлях на дорозі (БЕЗКОШТОВНИЙ ПЛАН) 

Скріншот Papertrail

SolarWinds працює a Служба управління журналом на основі хмар, що називається Papertrail. Це є журнал агрегатора який централізує сховище вашого журналу. Papertrail може керувати Журнали подій Windows, Syslog повідомлення, Файли журналів сервера Apache, Повідомлення програми Ruby on Rails, і сповіщення про маршрутизатор і брандмауер. Повідомлення можна переглядати в прямому ефірі на інформаційній панелі системи під час переходу до файлів журналу. Як і керування файлами журналів, інструмент включає в себе утиліти аналітичної підтримки.

Дані журналу шифруються як під час транзиту, так і в спокої, а доступ до файлів журналів захищається аутентифікацією. Ваші файли зберігаються на сервері Papertrail та SolarWinds піклується про резервне копіювання та архівування, Таким чином, ви можете заощадити гроші на покупці, керуванні та підтримці файлових серверів.

Papertrail працює як аномалії, так і методів виявлення на основі підпису і ви отримуєте вигоду від оновлень політики, отриманих від загроз, спрямованих на інших клієнтів Papertrail. Ви також можете зібрати власні правила виявлення.

SolarWinds пропонує Papertrail підписку з цілим рядом планів, найнижчий з яких є безкоштовним.

Агрегатор журналу SolarWinds PapertrailЗареєструйтесь тут безкоштовно

3. ManageEngine Аналізатор журналів подій (БЕЗКОШТОВНА ПРОБЛЕМА)

ManageEngine аналізатор журналу подій

Керуйте аналізатором журналу подій ManageEngine є і СНІД, і СНІД. Модуль управління журналом збирає та зберігає Syslog і SNMP повідомлення. Метадані про кожне повідомлення Syslog також зберігаються.

Файли журналу захищені як стисненням, так і шифруванням, а доступ захищений автентифікацією. Резервні копії можна відновити автоматично коли аналізатор виявляє фальсифікацію файлу журналу.

Інформаційна панель налаштовується, і різні екрани та функції можуть бути розподілені для різних груп користувачів. Звітність включає аудит відповідності PCI DSS, FISMA та HIPAA серед інших. Ви також можете активувати оповіщення про відповідність системі.

Аналізатор журналу подій працює Windows або Linux і може інтегруватися з інструментами управління інфраструктурою ManageEngine. А Безкоштовне видання цього інструменту доступний, дозволяючи лише до 5 джерел журналу. Ви також можете завантажити 30-денна безкоштовна пробна версія з Преміум-видання. Більше варіантів ціноутворення можна зв’яжіться зі своєю торговою командою.

ManageEngine аналізатор журналів подійЗавантажте 30-денну безкоштовну пробну версію

4. OSSEC

Скріншот OSSEC

OSSEC є безкоштовний HIDS з відкритим кодом виробництва Trend Micro. Він також включає функції моніторингу системи, які зазвичай відносять до СНІДу. Це дуже ефективний процесор даних файлів журналу, але він не постачається з користувальницьким інтерфейсом. Більшість користувачів ставлять Кібана або Graylog на передній частині OSSEC.

Цей інструмент організує зберігання файлів у журналі та захистить файли від підробок. Виявлення вторгнень на основі аномалії та реалізується через “політики.”Ці набори правил можна придбати безкоштовно у спільноти користувачів.

Програмне забезпечення OSSEC можна встановити на Windows, Linux, Unix, або Mac OS. Він контролює Журнали подій Windows а також реєстр. Він буде захищати кореневий рахунок на Linux, Unix, і Mac OS. Підтримка доступна безкоштовно від активного співтовариства користувачів, або ви можете заплатити Trend Micro за професійний пакет підтримки.

5. Саган

Скріншот Сагана

Саган – це безкоштовно HIDS що встановлюється на Unix, Linux, і Mac OS. Він здатний збирати Журнал подій Windows повідомлення, навіть якщо він не працює в Windows. Ви можете розподілити обробку Sagan, щоб зберегти накладні витрати на індикатор CPU вашого сервера журналу. Система використовує як аномалії, так і методів виявлення на основі підпису.

Ви можете встановити, що дії будуть відбуватися автоматично, коли виявлено вторгнення. Інструмент має кілька унікальних особливостей, яких не вистачає деяким із відомих HIDS. До них відносяться IP-геолокаційний об’єкт це дозволить вам отримувати сповіщення, коли діяльність різних IP-адрес простежується до одного географічного джерела. Інструмент також дозволяє встановити правила, пов’язані з часом, щоб викликати сповіщення. Система була написана як сумісна з Хрип, яка є мережевою системою виявлення, що дає можливості Saga NIDS у поєднанні з мережевим збирачем даних. Саган включає засіб виконання сценарію що робить це IPS.

6. Сплин

Сплин

Splunk пропонує як функції HIDS, так і NIDS. Базовим пакетом цього інструменту є вільний у користуванні і вона не включає будь-які мережеві сповіщення про дані, тому це чистий HIDS. Якщо ви шукаєте СНІД на основі аномалії, це дуже хороший варіант. Топ видання Splunk називається Splunk Enterprise і є версія цього програмного забезпечення (SaaS), яка називається Сплив хмара. Між Безкоштовною версією та Enterprise Edition сидить видання Сплив світло, що має деякі сервісні обмеження. Існує також онлайн-версія Splunk Light, що називається Спливли світла хмара.

Splunk має функції автоматизації робочого процесу, які роблять його системою запобігання вторгнень. Цей модуль називається Адаптивна рамка операцій і він пов’язує автоматизовані сценарії для запуску сповіщень. Автоматизація рішень виявлених проблем доступна лише при високооплачуваних варіантах Splunk.

Інформаційна панель Splunk дуже приваблива за допомогою візуалізації даних, таких як лінійні графіки та кругові діаграми. Система включає аналізатор даних у всіх виданнях Splunk. Це дає змогу переглядати записи, узагальнювати, сортувати та шукати їх та представляти їх у графіках.

Усі рівні Splunk працюють у Windows, Linux та macOS. Ви можете отримати 30-денну безкоштовну пробну версію Splunk Light, 60-денну безкоштовну пробну версію Splunk Enterprise та 15-денну безкоштовну пробну версію Splunk Cloud.

Вибір СНІДу

На ринку існує стільки інструментів для управління журналами з можливостями аналізу, що ви можете витратити дуже довго на оцінку всіх своїх варіантів HIDS. Зі списком у цьому посібнику, у вас зараз багато проведених досліджень і наступний крок – зосередити увагу на тих інструментах, які працюють в операційній системі вашого сервера. Якщо ви хочете користуватися хмарними послугами, тоді Papertrail та Splunk Cloud повинні вас найбільше зацікавити.

На щастя, всі інструменти у нашому списку або безкоштовні у використанні, або доступні на безкоштовні випробування, тож ви можете встановити пару кандидатів, щоб провести їх кроками без будь-якого фінансового ризику.

Ви зараз оперуєте СНІДом? Яку систему ви обрали? Як ви вважаєте, чи важливо заплатити за інструмент або ви раді використовувати безкоштовну утиліту? Залиште повідомлення в Коментарі розділ нижче та поділіться своїм досвідом із громадою.

Зображення: ІТ-безпека від Pixabay. Публічний домен.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map