Naipaliliwanag ang Host-Based Detection System ng Detection – 6 Pinakamahusay na Mga Kasangkapan sa Mga Anak na Sinuri

6 pinakamahusay na mga tool sa HIDS

Ano ang HIDS o Host Intrusion Detection System?

Ang mga bata ay isang akronim para sa sistema ng pagtuklas ng host ng panghihimasok. Susubaybayan nito ang computer / network kung saan naka-install ito na naghahanap ng parehong panghihimasok at maling paggamit. Kung nahanap, mai-log ito ang aktibidad at ipaalam sa administrator.

Ang mga bata ay katulad ng paggamit ng mga matalinong camera ng seguridad sa iyong tahanan; kung ang isang intruder ay masisira sa iyong bahay ang camera ay magsisimulang mag-record at magpadala ng isang alerto sa iyong mobile device.

Narito ang aming listahan ng ang anim na pinakamahusay na tool sa HIDS:

  1. Tagapamahala ng Kaganapan ng SolarWinds Security (FREE TRIAL) Ang isang mahusay na mga BATA na may komprehensibong pag-uulat para sa pagsunod sa mga pamantayan sa seguridad ng data. Tumatakbo sa Windows server ngunit nangongolekta din ng data mula sa mga sistema ng Linux at Unix.
  2. Papertrail (FREE PLAN) Cloud-based log aggregator mula sa SolarWinds sa parehong libre at bayad na mga bersyon.
  3. ManageEngine Kaganapan sa Pag-log sa Kaganapan (FREE TRIAL) Sinusuri ng tool na ito ang data ng log file mula sa Windows Server o Linux at nagdaragdag sa pagbabanta ng banta mula sa iba pang mga mapagkukunan.
  4. OSSEC Libreng processor ng log file na nagpapatupad ng parehong mga diskarte sa detektib na batay sa host at network. Mga pag-install sa Windows, Linux, Unix, at Mac OS.
  5. Sagan Libreng sistema ng pag-iwas sa intrusion na nakabase sa host na gumagamit ng parehong mga diskarte at mga diskarte na nakabase sa anomalya. Maaaring tumakbo sa Linux, Unix, at Mac OS.
  6. Hati Libreng sistema ng pagtuklas ng host na nakabatay sa host na may isang bayad na edisyon na kasama ang mga pamamaraan na batay sa network din. Ang mga pag-install sa Windows, Linux, at Mac OS at iyo ay isa ring bersyon na batay sa Cloud.

Ang pagtuklas ng panghihimasok ay naging isang mahalagang pamamaraan ng proteksyon para sa mga network upang labanan ang mga kahinaan sa seguridad na likas sa anumang sistema na may kasamang elemento ng tao. Hindi mahalaga kung gaano kalakas ang iyong mga patakaran sa pag-access ng gumagamit, ang mga hacker ay maaaring palaging mapapalibot sa kanila sa pamamagitan ng pag-trick ng isang empleyado sa pagsiwalat ng mga kredensyal sa pag-access.

Ang mga hacker na may pag-access ay maaaring sakupin ang isang sistema ng korporasyon para sa mga taon nang hindi napansin. Ang ganitong uri ng pag-atake ay tinatawag na isang Advanced na Patuloy na pagbabanta (APT). Partikular na naglalayong i-root ang mga IDS ng APT.

Ang isang tool ng HIDS ay nakatuon sa pagsubaybay sa mga file ng log. Karamihan sa mga application ay bumubuo ng mga mensahe ng log at iniimbak ang mga rekord na ito sa mga file na nagbibigay-daan sa iyo upang maghanap sa pamamagitan ng mga ito sa paglipas ng oras at mga indikasyon ng panghihimasok. Ang isang malaking problema sa pangangalap ng bawat mensahe ng log sa iyong system ay magtatapos ka isang malaking halaga ng data. Ang pag-iimbak ng mga mensahe ng log sa isang inorder na paraan ay makakatulong sa iyo na makilala ang tamang file upang makakuha ng data sa pamamagitan ng aplikasyon at petsa. Kaya, ang unang hakbang sa pagiging makakuha ng makabuluhang impormasyon sa labas ng iyong sistema ng pag-log ay upang ayusin ang mga pangalan ng file at istraktura ng direktoryo ng iyong log file server.

Ang susunod na hakbang sa pagpapatupad ng isang HIDS ay upang makakuha ng ilang awtomatikong pagtuklas. Isang HIDS ang maghanap sa pamamagitan ng mga mensahe ng log para sa mga tiyak na kaganapan na mukhang maaaring naitala nila ang malisyosong aktibidad. Ito ang core ng isang tool ng HIDS at ang paraan ng pagtuklas na tumutukoy kung aling mga rekord na makukuha ay itinakda ng mga patakaran at a panuntunan base.

Maraming mga Anak ang nagpapahintulot sa iyo na isulat ang iyong sariling alerto sa pagbuo ng alerto. Gayunpaman, kung ano ang talagang hinahanap mo kapag pumili ka ng isang sistema ng seguridad ay isang hanay ng mga naunang nakasulat na mga patakaran na isinasama ang kadalubhasaan ng mga dalubhasa sa seguridad na sumulat ng software.

Ang isang bata ay kasing ganda ng mga patakaran na ibinibigay nito. Hindi ka maaasahan na makasabay sa lahat ng mga pinakabagong vectors ng pag-atake habang nag-aalay din ng oras sa pang-araw-araw na mga gawain ng iyong trabaho at walang anumang punto sa pagsisikap na malaman ang lahat kung makakamit mo na kadalubhasaan na ibinigay para sa iyo ng bilang tool ng HIDS.

Ang kahalagahan ng mga file ng log

Ang dami ng mga mensahe ng log at kaganapan ay maaaring maging labis at nakaka-engganyong huwag pansinin lamang ang mga ito. Gayunpaman, ang panganib ng paglilitis na nag-trigger sa pamamagitan ng pagsisiwalat ng data o ang pinsala na maaaring gawin sa isang negosyo sa pamamagitan pagkawala ng data nangangahulugan na ang hindi pagtupad upang protektahan ang data ay maaari na ngayong masira ang iyong negosyo.

Ang mga isyu sa seguridad at proteksyon ng data ay mayroon na isinama sa mga kinakailangan sa kontrata at maraming mga pamantayan na sinusunod ngayon ng mga industriya upang matiyak ang mga stakeholder at mapanatiling ligtas ang negosyo. Ang pagsunod sa mga pamantayan sa integridad ng data ay may kasamang mga kinakailangan para sa pagpapanatili ng log file.

Depende sa kung aling pamantayang ipinatutupad ng iyong kumpanya, kakailanganin mong mag-imbak ng mga file ng log sa loob ng isang taon. Kaya, ang pamamahala ng file ng log ay naging isang mahalagang kinakailangan sa negosyo. Habang naglalagay ka ng isang log server, maaari mo ring pagsamahin ang mga hakbang sa seguridad dito, at kung ano ang ginagawa ng mga anak.

Ang seguridad ng file ng log

Ang pagpapanatili ng integridad ng file ng log ay isang mahalagang bahagi ng mga BATA. Ang mga mensahe ng kaganapan ay maaaring makilala ang panghihimasok at kaya ang mga file ng log ay mga target para sa mga hacker. Ang isang intruder ay maaaring masakop ang kanyang mga track sa pamamagitan ng pagmamanipula ng mga file ng log upang maalis ang mga nag-i-record na mga tala. Samakatuwid, isang log server na sumusuporta sa mga file ng log at tseke para sa hindi awtorisadong pagbabago mahalaga para sa pagsunod sa mga pamantayan sa seguridad ng data.

Ang mga sistema ng mga bata ay hindi maaaring epektibong protektahan ang mga mapagkukunan ng iyong system kung ang mapagkukunan ng impormasyon ay nakompromiso. Ang proteksyon ng mga file ng log ay umaabot sa sistema ng pagpapatunay ng iyong network. Walang awtomatikong sistema ng proteksyon ng mga file ng log na maaaring makilala sa pagitan ng awtorisado at hindi awtorisadong pag-access ng log file nang hindi rin sinusubaybayan ang seguridad ng mga pahintulot ng gumagamit..

Mga Bata kumpara sa mga BATA

Ang mga sistema ng pagtuklas ng batay sa panghihimasok sa host ay hindi lamang ang mga pamamaraan ng proteksyon ng panghihimasok. Ang mga sistema ng pagtuklas ng panghihimasok ay nahahati sa dalawang kategorya. Ang mga bata ay isa sa mga sektor na iyon, ang iba pang mga system na nakabase sa network na panghihimasok sa panghihimasok.

Parehong sinusuri ng parehong mga anak at mga anak ang mga mensahe ng system. Ang halagang ito sa parehong pagtingin sa mga mensahe ng log at kaganapan. Gayunpaman, Sinusuri din ng NIDS ang data ng packet habang ipinapasa ang mga network. Ang patakaran ng hinlalaki na naghahati sa mga responsibilidad ng pag-agaw ng panghihimasok sa pagitan ng dalawang pamamaraan na ito ay kinukuha ng NIDS ang live na data para sa pagtuklas at Sinusuri ng mga bata ang mga talaan sa mga file.

Ang bentahe ng NIDS ay nag-aalok ito ng isang mas mabilis na tugon kaysa sa mga BATA. Sa sandaling naganap ang isang kahina-hinalang kaganapan sa network, dapat makita ito ng NIDS at itaas ang isang alerto. Gayunpaman, ang mga hacker ay palihim at patuloy na inaayos ang kanilang mga pamamaraan upang maiwasan ang pagtuklas. Ang ilang mga pattern ng aktibidad ay nagiging maliwanag na nakakahamak kapag isinasaalang-alang sa isang mas malawak na konteksto.

Mas mainam na makakuha ng isang HIDS o isang NIDS ay hindi isang malaking isyu dahil talagang kailangan mo pareho.

Ang mga pangunahing katangian ng HINO

Sa pamamagitan ng pagsusuri ng makasaysayang data sa mga aktibidad, ang isang HIDS ay nakakakita ng mga pattern ng aktibidad na nangyayari sa paglipas ng panahon. Gayunpaman, kahit na sa mga mid-sized na network, ang dami ng mga talaan ng log na nabuo sa pang-araw-araw na batayan ay maaaring napakalaki, kaya mahalaga na pumili ng isang mahusay na pag-uuri at tool sa paghahanap.

Ang iyong mga anak ay hindi katumbas ng halaga kung ito ay masyadong mabagal. Tandaan, iyon ang mga bagong rekord ay patuloy na nag-iipon, kaya ang isang mabilis na mga bata ay madalas na mas mahusay kaysa sa isang napakahusay na ipinakita na tool. Mas gusto ng mga administrator ng Smart system na kompromiso sa pagtatanghal upang makakuha ng bilis. Gayunpaman, ang isang tool ng HIDS na parehong mabilis at mahusay na ipinakita ay ang pinakamahusay na pakikitungo sa lahat.

Mga anak at SIEM

Makakatagpo ka ng terminong SIEM ng maraming kapag sinisiyasat mo ang mga sistema ng seguridad sa network. Ang acronym na ito ay nakatayo para sa Impormasyon sa Seguridad at Pamamahala ng Kaganapan. Ito ay isang composite term na nagbago sa pamamagitan ng pagsasama Pamamahala ng Impormasyon sa Seguridad (SIM) at Pamamahala ng Kaganapan sa Seguridad (SEM). Sinusuri ng Security Information Management ang mga file ng log, at sa gayon ito ay pareho sa isang BATA. Ang monitor ng Kaganapan sa Seguridad ng Seguridad ay sinusubaybayan ang live na data, ginagawa itong katumbas ng isang NAKAMATAY. Kung nagpapatupad ka ng isang hybrid na sistema ng pagtuklas ng panghihimasok, lumikha ka ng isang SIEM.

Mga Sistemang Pang-iwas sa panghihimasok

Bilang isang sistema ng pagtuklas ng panghihimasok, ang isang HIDS ay isang mahalagang elemento ng proteksyon sa network. Gayunpaman, hindi ito nagbibigay ng lahat ng pag-andar na kailangan mo upang maprotektahan ang data ng iyong kumpanya mula sa pagnanakaw o pinsala. Kailangan mo ring magawa kumilos sa impormasyong ibinibigay ng isang IDS.

Ang remediation ng pagbabanta ay maaaring manu-manong isagawa nang manu-mano. Maaari kang magkaroon ng mga tool sa pamamahala ng network sa iyong pagtatapon na makakatulong sa iyo sa pagharang sa mga nanghihimasok. Gayunpaman, ang pag-link ng detection at remediation ay magkasama ay lumilikha ng isang sistema ng pag-iwas sa panghihimasok (IPS).

Ang parehong diskarte sa panghihimasok sa panghihimasok at panghihimasok sa panghihimasok ay gumagana sa pag-aakala na walang firewall o antivirus system ay hindi nagkakamali. Ang IDS ay ang pangalawang linya ng pagtatanggol at maraming mga eksperto sa seguridad ng IT ay nagbabalaan na walang dapat umasa sa isang diskarte ng pagprotekta sa network sa mga hangganan nito dahil ang anumang sistema ng seguridad ay maaaring masiraan ng mga pagkakamali ng gumagamit o nakakahamak na aktibidad ng empleyado.

“Ang sistema ng pag-iwas sa panghihimasok” ay isang maliit na maling impormasyon dahil ang pagsara ng IPS ay nagsara ng mga paglabag sa seguridad sa sandaling natuklasan sila sa halip na gumawa ng isang sistema kaya ang pag-iingat ay walang posibleng panghihimasok sa unang lugar.

Advanced na Proteksyon sa pagbabanta

Ang isa pang term na maaari mong makita kapag ang pagtugon sa mga advanced na patuloy na pagbabanta ay ATP. Ito ay nangangahulugan para sa Advanced na Proteksyon sa pagbabanta. Sa pangunahing anyo nito, ang isang sistema ng ATP ay pareho sa isang IDS. Gayunpaman, ang ilang mga nagbibigay ng ATP ay nagbabanta sa katalinuhan bilang isang pagtukoy ng katangian ng kanilang mga system. Ang paniktik ng pagbabanta ay isang bahagi din ng kahulugan ng isang IDS at isang system ng SIEM.

Sa isang HINO, ang intelligence intelligence ay batay sa base base ng mga term sa paghahanap ng data at mga pagsubok sa system na nagpapakilala sa nakakahamak na aktibidad. Maibibigay ito sa anyo ng mga naka-code na tseke o nababagay na mga patakaran na itinakda bilang mga patakaran. Ang paniktik ng pagbabanta ay maaari ring mabalangkas sa loob ng isang IDS sa pamamagitan ng AI. Gayunpaman, ang patakaran na bumubuo ng mga estratehiya ng mga awtomatikong sistema ay maaari lamang maging kumpleto tulad ng mga patakaran ng pag-iintindi ng hard-wired sa kanila sa kanilang paglikha.

Ang mga tagapagbigay ng ATP ay binibigyang diin ang kanilang mga sentro ng serbisyo sa kamalayan ng banta bilang isang tampok na pagtukoy. Inaalok ang mga serbisyong ito alinman bilang isang karagdagang subscription sa ATP software o kasama sa presyo ng pagbili. Ito ay isang elemento ng pagbabahagi ng impormasyon na nagbibigay-daan sa ATP software provider upang maipamahagi ang mga bagong patakaran at mga panuntunan sa pagtuklas batay sa matagumpay na pagkakakilanlan ng mga bagong atake vectors ng iba pang mga samahan. Ang ilang mga tagapagbigay ng HIDS ay nagsasama ng serbisyong ito at ang ilang mga HIDS ay suportado ng mga komunidad ng gumagamit na nagbabahagi ng mga bagong patakaran sa pagtuklas. Gayunpaman, ang mga tagapagbigay ng HIDS ay hindi kasing lakas sa elementong pagbabanta ng impormasyon ng banta ng kanilang mga serbisyo bilang mga nagbibigay ng ATP.

Mga pamamaraan ng deteksyon ng mga bata

Ang parehong mga bata at mga anak ay maaaring nahahati sa dalawang mga kategorya ayon sa kanilang mga pamamaraan ng pagtuklas. Ito ang:

  • Ang detalyeng batay sa Anomaly
  • Ang pagtukoy batay sa lagda

Walang direktang pagmamapa sa pagitan ng mga NINO at mga Anak para sa alinman sa dalawang mga diskarte na ito. Iyon ay, hindi masasabi na ang NIDS ay umaasa sa higit sa isa sa mga pamamaraan na ito at ang HIDS ay tungkol sa iba pang pamamaraan ng pagtuklas. Parehong ang mga BATA at NARAMI ay maaaring gumamit ng alinman sa parehong mga diskarte sa pagtuklas.

Ang isang bata na may diskarte na nakabase sa lagda ay gumagana sa parehong paraan tulad ng mga antivirus system; ang isang lagda na nakabase sa lagda ay nagpapatakbo tulad ng isang firewall. Iyon ay, ang diskarte na nakabase sa lagda ay naghahanap ng mga pattern sa data. Ang isang firewall ay naghahanap para sa mga keyword, uri ng packet, at aktibidad ng protocol sa papasok at palabas na trapiko sa network, habang ang isang NIDS ay nagsasagawa ng parehong mga tseke sa trapiko na naglalakbay sa loob ng network. Ang isang programa ng antivirus ay maghanap para sa mga tukoy na mga pattern o mga keyword sa mga file ng programa at isang Ginagawa ang parehong para sa mga file ng log.

Ang isang anomalya ay hindi inaasahang pag-uugali ng isang gumagamit o proseso. Ang isang halimbawa nito ay ang parehong gumagamit ng pag-log sa network mula sa Los Angeles, Hong Kong, at London lahat sa parehong araw. Ang isa pang halimbawa ay kung ang mga processors ng isang server ay biglang nagsimulang gumana nang 2:00 ng umaga. Ang isang anomalyang nakabatay sa HIDS ay titingnan ang mga file ng log para sa mga tala ng mga hindi pangkaraniwang aktibidad na ito; susubukan ng isang anomalyang nakabase sa anomalya na NINO na makita ang mga iregularidad na nangyari ito.

Tulad ng pagpipilian sa pagitan ng mga Anak at NINO, ang pagpapasya sa kung pupunta para sa pagtuklas na nakabase sa lagda o anomalya na nakabase sa mga IDS ay nalulutas sa pamamagitan ng pagpunta sa pareho.

Inirerekumenda ang mga tool ng HIDS

Maaari mong paliitin ang iyong paghahanap para sa isang sistema ng pagsiksik ng batay sa host na nakabatay sa pamamagitan ng pagbabasa sa pamamagitan ng aming mga rekomendasyon. Ang listahang ito ay kumakatawan sa pinakamainam ng lahi para sa bawat aspeto ng isang BATA.

Mahahanap mo mga libreng tool sa listahan, ang ilan sa mga ito ay may napakahirap na mga interface ng gumagamit, ngunit ginawa ito sa listahan dahil mayroon silang napakabilis na bilis ng pagproseso ng data. Makakakita ka rin ng mga tool sa listahan na kasama ang mga pangkalahatang pamamaraan sa pamamahala ng file ng log at partikular na isinulat upang sumunod sa mga kilalang kilalang pamantayan sa seguridad ng data. Ang iba pang mga tool ay komprehensibo at binibigyan ka ng lahat ng kailangan mo sa isang BATA sa parehong backend at sa interface.

1. Tagapamahala ng Kaganapan ng SolarWinds Security (LIBRENG SUBOK)

Ang Solarwinds Log at Manager ng Kaganapan

Ang SolarWinds ay lumikha ng isang HIDS na awtomatikong mga kakayahan sa remediation, na ginagawa itong isang panghihimasok na sistema ng pag-iwas, ang Security Tagapamahala ng Kaganapan.  Kasama sa tool ang mga ulat sa pag-audit ng pagsunod upang matulungan kang subaybayan ang PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13, at DISA STIG.

Ang mga tampok na proteksyon ng log file na binuo sa utility na ito ay kasama ang pag-encrypt sa transit at imbakan, at pagsubaybay sa folder at pagsusuri ng file. Kaya mo ipasa ang mga mensahe ng log at backup o archive buong folder at mga file. Kaya, ang pamamahala ng log file at mga tampok ng integridad ng tool na ito ay katangi-tangi.

Patuloy na subaybayan ng tool ang iyong mga file ng log, kasama ang mga bukas pa rin para sa mga bagong tala. Hindi mo na kailangang mag-isyu ng mga query nang manu-mano, sapagkat ang Manager ng Kaganapan ng Seguridad ay magtaas ng awtomatikong awtomatikong tuwing napansin ang isang kondisyon ng babala. Mayroon ding isang tool sa pagsusuri sa loob ng package na nagbibigay-daan sa iyo upang magsagawa ng manu-manong mga pagsusuri sa integridad ng data at panghihimasok sa isang mata ng tao.

Bagaman mai-install lamang ang software na ito sa Windows Server, mangolekta ito ng data ng log mula sa iba pang mga operating system, kasama ang Linux at Unix. Maaari kang makakuha isang 30-araw na libreng pagsubok ng Tagapamahala ng Kaganapan sa SolarWinds Security.

Tagapamahala ng Kaganapan sa SolarWinds SecurityDownload ang 30-araw na LIBRE Pagsubok

2. Papertrail (FREE PLAN) 

Papertrail screenshot

Ang SolarWinds ay nagpapatakbo ng a Ang serbisyo sa pamamahala ng log na nakabase sa Cloud, na tinatawag na Papertrail. Ito ay isang log aggregator na isinasentro ang iyong pag-iimbak ng file ng log. Maaaring pamahalaan ang Papertrail Mga log ng kaganapan sa Windows, Mga mensahe sa Syslog, Mga file ng log ng Apache server, Ruby sa daang mga mensahe ng programa, at mga notification sa router at firewall. Ang mga mensahe ay maaaring matingnan nang live sa dashboard ng system habang naglalakbay sila upang mag-log file. Pati na rin ang pamamahala ng mga file ng log, ang tool ay may kasamang analytical na suporta sa suporta.

Ang data ng log ay naka-encrypt pareho sa transit at sa pamamahinga at ang pag-access sa mga file ng log ay binabantayan ng pagpapatunay. Ang iyong mga file ay gaganapin sa Papertrail server at Ang SolarWinds ay nag-aalaga ng mga backup at pag-archive, sa gayon maaari mong makatipid ng pera sa pagbili, pamamahala, at pagpapanatili ng mga server server.

Nagtatrabaho ang Papertrail parehong anomalya at mga pamamaraan na nakabase sa detection na batay sa lagda at nakikinabang ka mula sa mga update sa patakaran na natutunan mula sa mga banta na naglalayong sa iba pang mga customer ng Papertrail. Maaari mo ring tipunin ang iyong sariling mga patakaran sa pagtuklas.

Nag-aalok ang SolarWinds ng Papertrail sa subscription na may iba’t ibang mga plano, ang pinakamababa nito ay libre.

Ang SolarWinds Papertrail Log AggregatorMag-sign up para sa LIBRE na plano dito

3. Pamahalaan ang Tagagawa ng Pag-log sa Kaganapan sa Kaganapan (FREE TRIAL)

PamahalaanEngine Event Log Analyzer

ManageEngine’s Event Log Analyzer ay kapwa isang HIDS at isang NIDS. Ang module ng pamamahala ng log ay nagtitipon at nagtitinda Syslog at SNMP mga mensahe. Ang metadata tungkol sa bawat mensahe ng Syslog ay naka-imbak din.

Ang mga file ng log ay protektado ng parehong compression at encryption at ang pag-access ay protektado ng pagpapatunay. Ang mga backup ay maaaring awtomatikong maibalik kapag nakita ng analyzer ang pag-tamper ng log file.

Ang dashboard ay napapasadyang at iba’t ibang mga screen at tampok ay maaaring ilalaan sa iba’t ibang mga grupo ng gumagamit. Kasama sa pag-uulat ang pagsunod sa mga pag-audit ng pagsunod para sa PCI DSS, FISMA, at HIPAA bukod sa iba pa. Maaari mo ring buhayin mga alerto sa pagsunod sa system.

Ang Event Log Analyzer ay tumatakbo Windows o Linux at maaaring pagsamahin sa mga tool sa pamamahala ng imprastruktura ng ManageEngine. A Libreng Edisyon magagamit ang tool na ito na nagbibigay-daan sa hanggang sa 5 mga mapagkukunan lamang ng log. Maaari ka ring mag-download a 30-araw na libreng pagsubok ng Premium Edition. Para sa higit pang mga pagpipilian sa pagpepresyo maaari mong makipag-ugnay sa kanilang koponan sa pagbebenta.

PamahalaanEngine Event Log AnalyzerDownload ang 30-araw na LIBRENG Pagsubok

4. OSSEC

OSSEC screenshot

Ang OSSEC ay isang libreng bukas na mapagkukunan ng mga anak ginawa ng Trend Micro. Kasama rin dito ang mga tampok ng pagsubaybay sa system na normal na maiugnay sa mga NAKAKATAON. Ito ay isang napaka-epektibong processor ng data ng file ng log, ngunit hindi ito dumating sa isang interface ng gumagamit. Karamihan sa mga gumagamit ay inilalagay Kibana o Greylog sa harap ng OSSEC.

Ang tool na ito ay ayusin mo ang pag-log sa pag-iimbak ng file at protektahan ang mga file mula sa pag-tamper. Ang pagtuklas ng panghihimasok ay batay sa anomalya at ipinatutupad sa pamamagitan ng “mga patakaran.”Ang mga patakarang set na ito ay maaaring makuha nang libre mula sa komunidad ng gumagamit.

Ang software ng OSSEC ay maaaring mai-install Windows, Linux, Unix, o Mac OS. Sinusubaybayan nito Mga log ng kaganapan sa Windows at din ang pagpapatala. Babantayan nito ang root account sa Linux, Unix, at Mac OS. Ang suporta ay magagamit nang libre mula sa aktibong komunidad ng gumagamit, o maaari kang magbayad ng Trend Micro para sa isang propesyonal na pakete ng suporta.

5. Sagan

Sagan screenshot

Si Sagan ay a libreng mga anak na naka-install sa Unix, Linux, at Mac OS. May kakayahang mangolekta Mag-log ng kaganapan sa Windows mga mensahe, kahit na hindi ito tumatakbo sa Windows. Maaari mong ipamahagi ang pagproseso ng Sagan upang mapanatili ang overhead sa ilaw ng CPU ng iyong log server. Gumagamit ang system parehong anomalya at mga pamamaraan na nakabase sa detection na batay sa lagda.

Maaari kang magtakda ng mga aksyon na awtomatikong maganap kapag nakita ang isang panghihimasok. Ang tool ay may ilang mga natatanging tampok na ilan sa mga mas kilalang kakulangan ng mga BATA. Kabilang dito isang pasilidad ng ge geolocation ng IP na magbibigay-daan sa iyo na itaas ang mga alerto kapag ang mga aktibidad ng iba’t ibang mga IP address ay nasusubaybayan sa parehong pinagmulan ng heograpiya. Pinapayagan ka ng tool na magtakda mga patakaran na nauugnay sa oras upang ma-trigger ang mga alerto. Ang system ay isinulat upang maging katugma sa Snort, na kung saan ay isang sistema ng pagtuklas ng network, na nagbibigay ng mga kakayahan ng Saga NIDS kapag pinagsama sa isang kolektor ng data ng network. Kasama ni Sagan isang pasilidad sa pagpapatupad ng script na ginagawa itong isang IPS.

6. Splunk

Hati

Nag-aalok ang Splunk kapwa mga tampok ng HIDS at NIDS. Ang base package ng tool na ito ay malayang gamitin at hindi ito kasama ang anumang mga alerto ng data na nakabatay sa network, kaya ito ay isang dalisay na Mga BATA. Kung naghahanap ka isang anomalya na nakabase sa anomalya, ito ay isang napakahusay na pagpipilian. Ang nangungunang edisyon ng Splunk ay tinatawag Splunk Enterprise at mayroong bersyon ng Software-as-a-Service (SaaS), na tinatawag na Splunk Cloud. Sa pagitan ng Libreng bersyon at ang edisyon ng Enterprise ay nakaupo Splunk Light, na may ilang mga limitasyon sa serbisyo. Mayroon ding isang online na bersyon ng Splunk Light, na tinawag Splunk Light Cloud.

Ang Splunk ay may mga tampok sa automation ng daloy ng trabaho na ginagawa itong isang sistema ng pag-iwas sa panghihimasok. Ang modyul na ito ay tinatawag na Ang Framework ng Mga Pagpapatakbo ng adaptation at ini-link nito ang mga awtomatikong script upang mag-trigger ng mga alerto. Ang automation ng mga solusyon sa mga napansin na problema ay magagamit lamang sa mas mataas na bayad na mga pagpipilian ng Splunk.

Ang dashboard ng Splunk ay nakakaakit ng mga visualization ng data tulad ng mga linya ng linya at mga tsart ng pie. Kasama sa system isang data analyzer sa lahat ng mga edisyon ng Splunk. Pinapayagan ka nitong tingnan ang mga talaan, buod, pag-uri-uriin, at hanapin ang mga ito, at makuha ang mga ito na kinakatawan sa mga grap.

Ang lahat ng mga antas ng Splunk ay tumatakbo sa Windows, Linux, at macOS. Maaari kang makakuha ng isang 30-araw na libreng pagsubok ng Splunk Light, isang 60-araw na libreng pagsubok ng Splunk Enterprise, at isang 15-araw na libreng pagsubok ng Splunk Cloud.

Pagpili ng isang BATA

Maraming mga tool sa pamamahala ng log na may mga kakayahan sa pagsusuri na magagamit sa merkado na maaari mong gumastos ng napakatagal na oras sa pagtatasa ng lahat ng iyong mga pagpipilian sa HIDS. Gamit ang listahan sa gabay na ito, marami ka ngayon sa pananaliksik na nagawa at ang susunod na hakbang ay ang pagtuon sa mga tool na tumatakbo sa operating system ng iyong server. Kung nais mong gumamit ng mga serbisyo na nakabase sa Cloud, ang Papertrail at Splunk Cloud ay dapat na interesado ka.

Sa kabutihang palad, ang lahat ng mga tool sa aming listahan ay libre upang magamit o magagamit sa libreng pagsubok, kaya maaari mong mai-install ang isang pares ng mga kandidato upang patakbuhin ang mga ito sa kanilang mga bilis nang walang anumang panganib sa pananalapi.

Kasalukuyan ka bang nagpapatakbo ng isang BATA? Aling sistema ang iyong napili? Sa palagay mo ba mahalaga na magbayad para sa isang tool o masaya ka bang gumagamit ng isang libreng utility? Mag-iwan ng mensahe sa Mga Komento bahagi sa ibaba at ibahagi ang iyong mga karanasan sa komunidad.

Larawan: IT Security mula sa Pixabay. Pampublikong Domain.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me