შემოწმების შემოწმების სისტემები ახსნილია: 12 საუკეთესო IDS ინსტრუმენტები განიხილეს


Contents

რა არის შეჭრის გამოვლენის სისტემა (IDS)?

შეჭრის გამოვლენის სისტემა (IDS) აკონტროლებს ქსელის ტრაფიკს უჩვეულო ან საეჭვო საქმიანობისთვის და განგაშს უგზავნის ადმინისტრატორს.

ანომალიური მოქმედების გამოვლენა და ქსელის ადმინისტრატორად განსახილველად ეს უმთავრესი ფუნქციაა, თუმცა IDS- ს ზოგიერთმა მოქმედებამ შეიძლება მიიღოს ზომები წესების საფუძველზე, როდესაც მავნე მოქმედება გამოვლენილია, მაგალითად, გარკვეული ტრეფიკის ბლოკირებისას.

ჩვენ დეტალებს ვიღებთ ქვემოთ მოცემულ თითოეულ ინსტრუმენტზე, მაგრამ თუ მოკლე დროში ხართ, აქ არის მოკლე ჩამონათვალი 12 საუკეთესო შეტევის გამოვლენის სისტემები და ინსტრუმენტები:

  1. SolarWinds უსაფრთხოების ღონისძიების მენეჯერი (უფასო ცდა) აერთიანებს როგორც HID- ს, ასევე NIDS- ის ფუნქციებს, რომ მოგაწოდოთ უსაფრთხოების სრული ინფორმაცია და ღონისძიებების მენეჯმენტი (SIEM) სისტემა.
  2. თოფი გათვალისწინებულია Cisco Systems– ის მიერ და უფასო გამოსაყენებლად, ქსელის დაფუძნებული ინტეგრაციის გამოვლენის წამყვანი სისტემა.
  3. OSSEC შესანიშნავი ჰოსტზე დაფუძნებული შეჭრის გამოვლენის სისტემა, რომლის გამოყენება უფასოა.
  4. ManageEngine EventLog ანალიზატორი ჟურნალის ფაილის ანალიზატორი, რომელიც ეძებს შეჭრის მტკიცებულებებს.
  5. სურიკატა ქსელზე დაფუძნებული შეჭრის გამოვლენის სისტემა, რომელიც მოქმედებს განაცხადის ფენზე, უფრო მეტი ხილვისთვის.
  6. ბრ ქსელის მონიტორინგი და ქსელის დაფუძნებული შეჭრის პრევენციის სისტემა.
  7. საგანია ჟურნალის ანალიზის ინსტრუმენტი, რომელსაც შეუძლია ინტეგრირება მოახდინოს მონაცემები, რომლებიც წარმოიქმნება snort- ის მონაცემებზე, ასე რომ, ეს არის HIDS, რომელსაც აქვს მცირე NIDS.
  8. უსაფრთხოების ხახვი ქსელის მონიტორინგი და უსაფრთხოების ინსტრუმენტი, რომელიც დამზადებულია სხვა უფასო ხელსაწყოებიდან ამოღებული ელემენტებისაგან.
  9. დამხმარე Advanced Intrusion Detection Environment HIDS არის Unix, Linux და Mac OS
  10. OpenWIPS-NG უსადენო Nids და შეჭრის პრევენციის სისტემა Aircrack-NG- ის შემქმნელებისგან.
  11. სამჰაინი უშუალო მასპინძელზე დაფუძნებული შეჭრის გამოვლენის სისტემა Unix, Linux და Mac OS.
  12. Fail2Ban მსუბუქი მასპინძელი დაფუძნებული შეჭრის გამოვლენის სისტემისთვის Unix, Linux და Mac OS.

შეჭრის გამოვლენის სისტემების ტიპები

შეჭრის გამოვლენის სისტემების ორი ძირითადი ტიპი არსებობს (ორივე უფრო დეტალურად არის აღწერილი ამ სახელმძღვანელოში):

  1. მასპინძელზე დაფუძნებული შეჭრის გამოვლენა (HIDS) – ეს სისტემა შეისწავლის მოვლენებს თქვენს ქსელში არსებულ კომპიუტერზე, ვიდრე ტრაფიკი, რომელიც გადის სისტემის გარშემო.
  2. ქსელზე დაფუძნებული შეჭრის გამოვლენა (NIDS) – ეს სისტემა შეისწავლის თქვენს ქსელში ტრაფიკს.

ქსელის შეჭრის აღმოჩენის ხელსაწყოები და სისტემები ახლა არსებითი მნიშვნელობა აქვს ქსელის უსაფრთხოებას. საბედნიეროდ, ამ სისტემების გამოყენება მარტივია და ბაზარზე არსებული საუკეთესო IDS– ების უმეტესი გამოყენება უფასოა. ამ მიმოხილვაში წაიკითხავთ ათი საუკეთესო შეტევის გამოვლენის სისტემის შესახებ, რომლის დამონტაჟებაც ახლა შეგიძლიათ, თქვენი ქსელის თავდასხმისგან დასაცავად. ჩვენ ვფარავთ ინსტრუმენტებს Windows, Linux და Mac.

მასპინძელთა შეჭრის გამოვლენის სისტემები (HIDS)

მასპინძელზე დაფუძნებული შეჭრა, ასევე ცნობილია, როგორც მასპინძელთა შეჭრის გამოვლენის სისტემები ან მასპინძელი IDS, შეამოწმეთ მოვლენები თქვენს ქსელში კომპიუტერთან, ვიდრე ტრაფიკი, რომელიც გადის სისტემის გარშემო. ჩანართების გამოვლენის ამ ტიპის სისტემა მოკლებულია შიდსი და ეს ძირითადად მოქმედებს იმ admin ფაილების კომპიუტერზე, რომელიც მას იცავს. ამ ფაილებში შედის ჟურნალის ფაილები და ფაილების კონფიგურაცია.

HIDS დააკონტროლებს თქვენს კონფიგურაციურ ფაილებს, ასე რომ თქვენ შეგიძლიათ აღადგინოთ პარამეტრები, თუკი ავთვისებიანი ვირუსი შეამსუბუქებს თქვენი სისტემის უსაფრთხოებას კომპიუტერის პარამეტრის შეცვლის გზით. კიდევ ერთი მთავარი ელემენტი, რომლის დაცვაც გსურთ, არის Unix- ის მსგავსი პლატფორმებზე root დაყენება ან რეესტრის ცვლილებები Windows სისტემებზე. HIDS ვერ შეძლებს ამ ცვლილებების დაბლოკვას, მაგრამ მან უნდა გააფრთხილოს ამგვარი დაშვების შემთხვევაში.

HID- ის დამკვირვებლების თითოეულ მასტერს უნდა ჰქონდეს დაინსტალირებული რამდენიმე პროგრამა. თქვენ შეგიძლიათ მიიღოთ თქვენი HIDS ერთი კომპიუტერის მონიტორინგი. თუმცა, უფრო ტიპიურია HIDS- ის დაყენება თქვენს ყველა ქსელში. ეს იმიტომ, რომ თქვენ არ გსურთ უყუროთ კონფიგურაციის ცვლილებებს ნებისმიერი მოწყობილობის ნაწილზე. ბუნებრივია, თუ თქვენს ქსელში გაქვთ ერთზე მეტი HIDS ჰოსტინგი, არ გსურთ შეხვიდეთ თითოეულში, რომ მიიღოთ უკუკავშირი. Ისე, განაწილებული HIDS სისტემაში საჭიროა ცენტრალიზებული კონტროლის მოდულის შეტანა. მოძებნეთ სისტემა, რომელიც დაშიფვრავს კომუნიკაციას მასპინძელ აგენტებსა და ცენტრალურ მონიტორს შორის.

ქსელის შეჭრის გამოვლენის სისტემები (NIDS)

ქსელში დაფუძნებული შეჭრა, რომელიც ასევე ცნობილია როგორც ქსელის შეჭრის გამოვლენის სისტემა ან ქსელის IDS, იკვლევს თქვენს ქსელში მოძრაობას. როგორც ასეთი, ტიპიური NIDS მასში უნდა შედიოდეს პაკეტის სრიფტი, რომლითაც შესაძლებელი იქნება ქსელის ტრეფიკი ანალიზისთვის.

NIDS– ის ანალიზის ძრავა, როგორც წესი, დაფუძნებულია წესზე და შეიძლება შეიცვალოს თქვენი საკუთარი წესების დამატება. მრავალი NIDS- ით, სისტემის მიმწოდებელი, ან მომხმარებელთა საზოგადოება, თქვენს შესაძლებლობებს გახდის წესებს და თქვენ მხოლოდ იმპორტის შემოტანას შეძლებთ თქვენს განხორციელებაში. მას შემდეგ რაც გაეცანით თქვენს მიერ არჩეული NIDS– ის წესების სინტაქსს, თქვენ შეძლებთ შექმნათ თქვენი საკუთარი წესები.

მიბრუნება ტრაფიკის შეგროვებასთან, თქვენ არ გსურთ ყველა თქვენი ტრეფიკი შეიტანოთ ფაილებში ან გადაიტანოთ მთელი დაფა დაფის საშუალებით იმიტომ, რომ თქვენ ვერ შეძლებთ ყველა მონაცემის ანალიზს. ამრიგად, წესები, რომლებიც ახდენს ანალიზს NIDS- ში, ასევე ქმნის მონაცემთა შერჩევითი აღებას. მაგალითად, თუ თქვენ გაქვთ წესი, შემაშფოთებელი HTTP ტრაფიკისთვის, თქვენი NIDS უნდა შეარჩიოთ და შეინახოთ HTTP პაკეტები, რომლებიც აჩვენებს ამ მახასიათებლებს..

როგორც წესი, NIDS დამონტაჟებულია აპარატის სპეციალურ ნაწილზე. მაღალი დონის ანაზღაურებადი საწარმოს გადაწყვეტილებები ხდება ქსელის ნაკრები, რომელზეც პროგრამული უზრუნველყოფა წინასწარ დატვირთულია მასზე. თუმცა, თქვენ არ გჭირდებათ გადაიხადოთ დიდი თანხები სპეციალისტის ტექნიკისთვის. NIDS- ს სჭირდება სენსორის მოდულის მოპოვება ტრეფიკის შესაქმნელად, ასე რომ თქვენ შეიძლება ატვირთოთ იგი LAN ანალიზატორზე ან შეგიძლიათ აირჩიოთ კომპიუტერის გამოყოფა დავალების შესასრულებლად. ამასთან, დარწმუნდით, რომ აღჭურვილობის ნაწილს, რომელსაც თქვენ დავალებისთვის აირჩევთ, საკმარისია საათის სიჩქარე, რომ არ შეანელოთ თქვენი ქსელი.

HIDS ან NIDS?

მოკლე პასუხი ორივე. შიდსი მოგცემთ გაცილებით მეტ მონიტორინგს, ვიდრე HIDS. თქვენ შეგიძლიათ შეაჩეროთ შეტევები, როგორც ეს ხდება NIDS- ით, მაშინ როდესაც HIDS მხოლოდ ვერ შეამჩნია რაიმე შეცდომა მას შემდეგ, რაც ფაილმა ან მოწყობილობამ უკვე შეცვალა. ამასთან, მხოლოდ იმის გამო, რომ HIDS- ებს არ აქვთ ისეთი აქტივობა, როგორც NIDS– ები, ეს არ ნიშნავს იმას, რომ ისინი ნაკლებად მნიშვნელოვანია.

ის ფაქტი, რომ NIDS ჩვეულებრივ დამონტაჟებულია ცალკეულ მოწყობილობებზე, ნიშნავს რომ იგი არ ჩამოიყვანს თქვენი სერვერების პროცესორებს. თუმცა, HIDS– ის საქმიანობა არ არის ისეთივე აგრესიული, როგორც NIDS– ის საქმიანობა. HIDS- ის ფუნქციის შესრულება შესაძლებელია კომპიუტერში მსუბუქი მსუბუქი დემონის მიერ და არ უნდა დაიწვას ზედმეტი CPU. არც ერთი სისტემა არ ქმნის ქსელის დამატებით ტრაფიკს.

გამოვლენის მეთოდები: ხელმოწერაზე დაფუძნებული ან ანომალიაზე დაფუძნებული IDS

თუ თქვენ ეძებთ მასპინძელთა შეჭრის გამოვლენის სისტემას ან ქსელის შეჭრის გამოვლენის სისტემას, ყველა IDS იყენებს ოპერაციის ორ რეჟიმს – ზოგიერთს შეუძლია მხოლოდ ერთი ან სხვა გამოიყენოთ, მაგრამ უმეტესობა ორივე იყენებს.

  • ხელმოწერაზე დაფუძნებული IDS
  • ანომალიაზე დაფუძნებული IDS

ხელმოწერაზე დაფუძნებული IDS

ხელმოწერაზე დაფუძნებული მეთოდი ათვალიერებს ჩეკების და შეტყობინებების ავთენტიფიკაციას. ხელმოწერაზე დაფუძნებული გამოვლენის მეთოდები შეიძლება გამოყენებულ იქნას ისევე როგორც NIDS, ისევე როგორც HIDS. HIDS დაათვალიერებს ჩანაწერებს და დააკონფიგურირებს ფაილებს ნებისმიერი მოულოდნელი გადაწერაზე, ხოლო NIDS შეისწავლის შეფუთვებს და პაკეტებში ჩასმული შეტყობინებების ავთენტიფიკაციის მთლიანობას, როგორიცაა SHA1..

NIDS შეიძლება შეიცავდეს ხელმოწერების მონაცემთა ბაზას, რომელიც ცნობილია, რომ მავნე მოქმედებების წყაროა. საბედნიეროდ, ჰაკერები არ სხედან თავიანთ კომპიუტერებზე ტიპაჟის მსგავსად, რათა დაარღვიონ პაროლი ან დააკონტროლონ ძირეული მომხმარებელი. ამის ნაცვლად, ისინი იყენებენ ცნობილ ჰაკერების საშუალებების მიერ მოწოდებულ ავტომატურ პროცედურებს. ეს ხელსაწყოები ყოველ ჯერზე ერთი და იგივე საგზაო ხელმოწერების გენერირებას ახდენს, რადგან კომპიუტერული პროგრამები არაერთხელ იმეორებენ ერთსა და იმავე მითითებებს, ვიდრე შემთხვევითი ცვალებადობების შემოღებას..

ანომალიაზე დაფუძნებული IDS

ანომალიაზე დაფუძნებული გამოვლენა ეძებს საქმიანობის მოულოდნელ ან უჩვეულო ნიმუშებს. ამ კატეგორიაში შეიძლება განხორციელდეს როგორც მასპინძელი, ასევე ქსელური დაფუძნებული ინტეგრაციის გამოვლენის სისტემები. HIDS– ის შემთხვევაში, ანომალია შეიძლება განმეორდეს შესვლის მცდელობებით, ან უჩვეულო საქმიანობა მოწყობილობის პორტებზე, რომელიც გულისხმობს პორტების სკანირებას.

NIDS– ის შემთხვევაში, ანომალიის მიდგომა მოითხოვს საბაზისო ხაზის დადგენას ქცევის შექმნა სტანდარტული სიტუაციის შესაქმნელად, რომლის წინააღმდეგაც შეიძლება შედარდეს მიმდინარე ტრაფიკის ნიმუშები. ტრეფიკის ნიმუშების მიღება ითვლება მისაღები და როდესაც რეალურ დროში ტრანსპორტი მოძრაობს ამ დიაპაზონიდან, ანომალიის განგაშის პროვოცირება ხდება.

IDS მეთოდის არჩევა

დახვეწილ NIDS– ებს შეუძლიათ შექმნან სტანდარტული ქცევის ჩანაწერი და დაარეგულირონ მათი საზღვრები, როგორც მათი სამსახურის ცხოვრება პროგრესირებს. საერთო ჯამში, ხელმოწერის და ანომალიის ანალიზები გაცილებით მარტივია ოპერაციებში და უფრო ადვილია HIDS პროგრამული უზრუნველყოფის შექმნა, ვიდრე NIDS.

ხელმოწერაზე დაფუძნებული მეთოდები ბევრად უფრო სწრაფია, ვიდრე ანომალიაზე დაფუძნებული გამოვლენა. სრულყოფილი ანომალიური ძრავა ეხება AI მეთოდოლოგიას და შეიძლება განვითარდეს ბევრი ფული. ამასთან, ხელმოწერაზე დაფუძნებული მეთოდები ფასდება ფასეულობების შედარებასთან. რა თქმა უნდა, HIDS- ის შემთხვევაში, ფაილის ვერსიებთან შესაბამისობის ნიმუში შეიძლება იყოს ძალიან მარტივი ამოცანა, რომელსაც ვინმეს შეეძლო საკუთარი თავის შესრულება ბრძანების კომუნალური საშუალებების გამოყენებით, ჩვეულებრივი გამონათქვამებით. ამრიგად, მათ არ ღირს იმდენი განვითარება, რომელთა განხორციელებაც უფრო სავარაუდოა, რომ მოხდება თავისუფალი შეჭრის გამოვლენის სისტემებში.

შეჭრის ამოცნობის ყოვლისმომცველ სისტემას სჭირდება ხელმოწერის დაფუძნებული მეთოდები და ანომალიაზე დაფუძნებული პროცედურები.

დაიცავით ქსელი IPS– ით

ახლა უნდა განვიხილოთ შეჭრის პრევენციის სისტემები (IPS). IPS პროგრამული უზრუნველყოფა და IDS– ები იგივე ტექნოლოგიის ფილიალია, რადგან გამოვლენის გარეშე პრევენცია შეუძლებელია. შეჭრის ხელსაწყოების ამ ორ ფილიალს შორის სხვაობის გამოხატვის კიდევ ერთი გზაა მათ პასიური ან აქტიური უწოდოთ. შეტევის მონიტორინგისა და საგანგაშო სისტემას პირდაპირ სისტემას ზოგჯერ უწოდებენ “პასიური” პირადობის მოწმობა. სისტემა, რომელიც არამარტო შეჭრის წერტილს იწვევს, არამედ მოქმედებს ზარალის გამოსწორების მიზნით და გამოვლენილი წყაროდან შემდგომი შეჭრის მოქმედებების დაბლოკვის მიზნით, ასევე ცნობილია, როგორც “რეაქტიული” IDS.

რეაქტიული IDS, ან IPS– ს, ჩვეულებრივ, არ იყენებენ გადაწყვეტილებებს. ამის ნაცვლად, ისინი ურთიერთქმედებენ firewalls- ს და პროგრამებს პარამეტრების მორგებით. რეაქტიული HIDS– ს შეუძლია ურთიერთქმედდეს ქსელის მრავალი დამხმარე საშუალება მოწყობილობაზე პარამეტრების შესანახად, მაგალითად SNMP ან დაყენებული კონფიგურაციის მენეჯერი. ჩვეულებრივ, ავტომატურად არ განიხილება ძირითადი მომხმარებელი, ან ადმინისტრაციული მომხმარებელი Windows, რადგან ადმინისტრატორი მომხმარებლის დაბლოკვა ან სისტემის პაროლის შეცვლა გამოიწვევს სისტემის ადმინისტრატორს ქსელის და სერვერების გარეთ ჩაკეტვას..

IDS- ების ბევრი მომხმარებელი ინფორმაციას წყალდიდობის შესახებ ცრუ პოზიტიური როდესაც ისინი პირველად დააყენებენ თავდაცვის სისტემებს. როგორც IPS– ები ავტომატურად ახორციელებენ თავდაცვის სტრატეგიას საგანგაშო მდგომარეობის გამოვლენის შესახებ. არასწორად დაკომპლექტებულმა IPS– მა შეიძლება გამოიწვიოს გაფუჭება და თქვენი ლეგიტიმური ქსელის მოქმედება შეჩერდეს.

ქსელის შეფერხების მინიმუმამდე შემცირების მიზნით, თქვენ უნდა შემოიტანოთ თქვენი შეჭრის გამოვლენის და პრევენციის სისტემა ეტაპობრივად. ტრიგერები შეიძლება მორგებული იყოს და შეგიძლიათ დააკავშიროთ გამაფრთხილებელი პირობები, საბაჟო სიგნალის შესაქმნელად. მოქმედებების განცხადებას, რომელიც უნდა განხორციელდეს საფრთხეების გამოვლენასთან დაკავშირებით, უწოდეს ა პოლიტიკა. შეჭრის გამოვლენისა და პროფილაქტიკური პროცედურების ურთიერთქმედება ფეიერვერკებთან განსაკუთრებით უნდა იყოს მოწესრიგებული, რათა არ მოხდეს თქვენი ბიზნესის ნამდვილი მომხმარებლების ჩაკეტვა ზედმეტად მჭიდრო პოლიტიკით..

შეჭრის გამოვლენის სისტემები ტიპის და ოპერაციული სისტემის მიხედვით

IDS პროგრამის მწარმოებლები ყურადღებას ამახვილებენ Unix– ის მსგავსი ოპერაციულ სისტემებზე. ზოგი მათ კოდს აწარმოებს POSIX სტანდარტის შესაბამისად. ყველა ამ შემთხვევაში, ეს ნიშნავს, რომ Windows გამორიცხულია. როგორც Mac OS X და macOS– ის Mac OS– ის ოპერაციული სისტემები დაფუძნებულია Unix– ზე, ამ ოპერაციულ სისტემებს გაცილებით უკეთ ემსახურება IDS მსოფლიოში, ვიდრე სხვა პროგრამული კატეგორიებში. ქვემოთ მოცემულ ცხრილში მოცემულია, თუ რომელი IDS– ს ემყარება მასპინძელი, რომელიც ქსელზე დაფუძნებულია და რომელ ოპერაციულ სისტემებზეა შესაძლებელი მათი განთავსება.

თქვენ შეგიძლიათ წაიკითხოთ რამდენიმე მიმოხილვა, რომელიც ირწმუნება, რომ უსაფრთხოების ხახვი შეიძლება Windows- ზე გაუშვათ. მას შეუძლია, თუ თქვენ პირველად დააინსტალირეთ ვირტუალური მანქანა და გაუშვით. ამასთან, ამ ცხრილში მოცემული განმარტებებისა, ჩვენ მხოლოდ ვთვლით პროგრამულ უზრუნველყოფას, როგორც ის თავსებადი ოპერაციულ სისტემასთან, თუ მისი პირდაპირ ინსტალაცია შესაძლებელია.

ინტეგრაციის ამოცნობის ყველაზე მაღალი საშუალებები & პროგრამული უზრუნველყოფა

IDSHIDS / NIDSUnixLinuxWindowsMac OS
SolarWinds უსაფრთხოების ღონისძიების მენეჯერი (ᲣᲤᲐᲡᲝ ᲪᲓᲐ)ორივეარაარადიახარა
თოფიNIDSდიახდიახდიახარა
OSSECშიდსიდიახდიახდიახდიახ
ManageEngine EventLog ანალიზატორიშიდსიდიახდიახდიახდიახ
სურიკატაNIDSდიახდიახდიახდიახ
ბრNIDSდიახდიახარადიახ
საგანიაორივედიახდიახარადიახ
უსაფრთხოების ხახვიორივეარადიახარაარა
დამხმარეშიდსიდიახდიახარადიახ
გახსენით WIPS-NGNIDSარადიახარაარა
სამჰაინიშიდსიდიახდიახარადიახ
Fail2Banშიდსიდიახდიახარადიახ

შეჭრის გამოვლენის სისტემები Unix- ისთვის

ზემოთ მოყვანილ ცხრილში მოცემული ინფორმაციის გადატანა Unix- ის სპეციფიკურ სიაში, აქ მოცემულია HIDS და NIDS, რომელთა გამოყენება შეგიძლიათ Unix– ის პლატფორმაზე.

მასპინძელთა შეჭრის გამოვლენის სისტემები:

  • OSSEC
  • EventLog ანალიზატორი
  • საგანია
  • დამხმარე
  • სამჰაინი
  • Fail2Ban

ქსელის შეჭრის გამოვლენის სისტემები:

  • თოფი
  • ბრ
  • სურიკატა
  • საგანია

ინტუიციური გამოვლენის სისტემები Linux- ისთვის

აქ მოცემულია მასპინძელთა შეჭრის ამოცნობის სისტემების და ქსელის შეჭრის სისტემების სიები, რომელთა გაშვება შეგიძლიათ Linux პლატფორმაზე.

მასპინძელთა შეჭრის გამოვლენის სისტემები:

  • OSSEC
  • EventLog ანალიზატორი
  • საგანია
  • უსაფრთხოების ხახვი
  • დამხმარე
  • სამჰაინი
  • Fail2Ban

ქსელის შეჭრის გამოვლენის სისტემები:

  • თოფი
  • ბრ
  • სურიკატა
  • საგანია
  • უსაფრთხოების ხახვი
  • გახსენით WIPS-NG

შეჭრის გამოვლენის სისტემები Windows- ისთვის

Windows Server- ის პოპულარობის მიუხედავად, ინტროდუქციის გამოვლენის სისტემების დეველოპერები არ ჩანს ძალიან დაინტერესებულნი არიან Windows ოპერაციული სისტემისთვის პროგრამული უზრუნველყოფის წარმოებისთვის. აქ მოცემულია რამდენიმე IDS, რომლებიც Windows– ზე მუშაობს.

მასპინძელთა შეჭრის გამოვლენის სისტემები:

  • SolarWinds უსაფრთხოების ღონისძიების მენეჯერი
  • OSSEC
  • EventLog ანალიზატორი

ქსელის შეჭრის გამოვლენის სისტემები:

  • SolarWinds უსაფრთხოების ღონისძიების მენეჯერი
  • თოფი
  • სურიკატა

შეჭრის გამოვლენის სისტემები Mac OS- სთვის

Mac მფლობელები სარგებლობენ იმით, რომ Mac OS X და macOS ორივე დაფუძნებულია Unix– ზე და, შესაბამისად, Mac– ის მფლობელებისთვის არსებობს ბევრად უფრო მეტი ჩანერგვის გამოვლენის სისტემის პარამეტრები, ვიდრე მათ, ვისაც აქვთ Windows ოპერაციული სისტემა..

მასპინძელთა შეჭრის გამოვლენის სისტემები:

  • OSSEC
  • EventLog ანალიზატორი
  • საგანია
  • დამხმარე
  • სამჰაინი
  • Fail2Ban

ქსელის შეჭრის გამოვლენის სისტემები:

  • ბრ
  • სურიკატა
  • საგანია

შეჭრის ამოცნობის საუკეთესო სისტემები და ინსტრუმენტები

ახლა თქვენ ნახეთ მასპინძელზე დაფუძნებული ინტროგენციის სისტემების და ქსელის დაფუძნებული ინტეგრაციის გამოვლენის სისტემების სწრაფი შეცდომა ოპერაციული სისტემის მიერ, ამ სიაში ჩვენ უფრო ღრმად ვხვდებით დეტალებს თითოეული საუკეთესო IDS- ის შესახებ..

1. SolarWinds უსაფრთხოების ღონისძიების მენეჯერი (უფასო ცდა)

Solarwinds ჟურნალი და მოვლენების მენეჯერი

SolarWinds უსაფრთხოების ღონისძიების მენეჯერი (სემი) გადის Windows სერვერი, მაგრამ მას შეუძლია ჟურნალის მიერ წარმოქმნილი შეტყობინებების ჟურნალი უნიქსი, Linux, და Mac OS კომპიუტერები ასევე ვინდოუსი კომპიუტერები.

როგორც ჟურნალის მენეჯერი, ეს არის მასპინძელზე დაფუძნებული შეჭრის ამოცნობის სისტემა, რადგან ის შეშფოთებულია სისტემის ფაილების მართვასთან. ამასთან, ის ასევე მართავს Snort- ის მიერ შეგროვებულ მონაცემებს, რაც მას ქსელის ქსელზე დაფუძნებული შეჭრის გამოვლენის სისტემის ნაწილად აქცევს.

Snort არის Cisco Systems– ის მიერ წარმოქმნილი პაკეტის სრიფერი (იხილეთ ქვემოთ). მას აქვს კონკრეტული მონაცემების ფორმატი, რომელსაც IDS ინსტრუმენტების სხვა მწარმოებლები უერთდებიან თავიანთ პროდუქტებს. ეს საქმეა SolarWinds უსაფრთხოების ღონისძიების მენეჯერთან. ქსელის შეჭრა სისტემები იკვლევენ მოძრაობის მონაცემებს ქსელში მიმოქცევაში. უსაფრთხოების ღონისძიების მენეჯერის NIDS შესაძლებლობების განლაგებისთვის, დაგჭირდებათ გამოიყენეთ Snort, როგორც პაკეტის დაჭერის ხელსაწყო და ძაბრმა მონაცემები გადააგზავნა უსაფრთხოების ღონისძიების მენეჯერს ანალიზისთვის. მიუხედავად იმისა, რომ LEM მოქმედებს როგორც HIDS- ის ინსტრუმენტი, როდესაც საქმე ეხება ლოგის ფაილების შექმნას და მთლიანობას, მას შეუძლია რეალურ დროში ქსელის მონაცემების მიღება Snort- ის საშუალებით, რაც წარმოადგენს NIDS- ის საქმიანობას..

SolarWinds პროდუქტს შეუძლია იმოქმედოს როგორც შეჭრის პრევენციის სისტემა, ასევე იმის გამო, რომ მას შეუძლია განახორციელოს მოქმედებები ინტეგრაციის გამოვლენის შესახებ. პაკეტი იგზავნება 700-ზე მეტი ღონისძიების კორელაციის წესით, რაც საშუალებას აძლევს მას დააფიქსიროს საეჭვო მოქმედებები და ავტომატურად განახორციელოს გამოსწორების ღონისძიებები. ამ ქმედებებს უწოდებენ აქტიური პასუხები.

ეს აქტიური პასუხები მოიცავს:

  • ინციდენტების სიგნალები SNMP- ის საშუალებით, ეკრანის შეტყობინებები ან ელ.ფოსტა
  • USB მოწყობილობის იზოლაცია
  • მომხმარებლის ანგარიშის შეჩერება ან მომხმარებლის განდევნა
  • IP მისამართის დაბლოკვა
  • პროცესების მკვლელობა
  • სისტემის გამორთვა ან გადატვირთვა
  • მომსახურების გათიშვა
  • სერვისის გამოწვევა

უსაფრთხოების მოვლენის მენეჯერის Snort გაგზავნის დამუშავების შესაძლებლობები მას ძალზე სრულყოფილად აქცევს ქსელის უსაფრთხოება ინსტრუმენტი. მავნე მოქმედება თითქმის დაუყოვნებლივ უნდა დახუროთ, ხელსაწყოს შესაძლებლობის შესაძლებლობის წყალობით, დააკავშიროთ Snort მონაცემები სისტემის სხვა მოვლენებთან. მომსახურების შეფერხების რისკი გამოვლენის გზით ცრუ პოზიტიური მნიშვნელოვნად შემცირდა მოვლენების სწორად შერბილების წესების წყალობით. შეგიძლიათ ამაზე წვდომა ქსელის უსაფრთხოება სისტემა ა 30-დღიანი უფასო ტესტირება.

ᲠᲔᲓᲐᲥᲢᲝᲠᲘᲡ ᲐᲠᲩᲔᲕᲐᲜᲘ

უსაფრთხოების მნიშვნელოვანი გაუმჯობესება, მოვლენებზე რეაგირებისა და შესაბამისობის მისაღწევად.

გადმოწერა: ჩამოტვირთეთ 30 დღიანი უფასო ტესტი

Ოფიციალური გვერდი: https://www.solarwinds.com/securance-event-manager

ოპერაციული სისტემა: ვინდოუსი

2. Snort

Snort ეკრანის სურათი

Snort არის ინდუსტრიის ლიდერი NIDS- ში, მაგრამ მისი გამოყენება კვლავ უფასოა. ეს არის იმ რამდენიმე IDS– ის გარშემო, რომლის დაინსტალირება შესაძლებელია Windows- ზე. იგი შეიქმნა Cisco– ს მიერ. სისტემის მართვა შესაძლებელია სამ სხვადასხვა რეჟიმში და შეუძლია განახორციელოს თავდაცვის სტრატეგიები, ასე რომ, ეს არის შეჭრის პრევენციის სისტემა, ისევე როგორც შეჭრის გამოვლენის სისტემა.

Snort- ის სამი რეჟიმია:

  • Sniffer რეჟიმში
  • პაკეტის ხე
  • შეჭრის გამოვლენა

თქვენ შეგიძლიათ გამოიყენოთ snort ისევე, როგორც პაკეტის sniffer, მისი შეჭრის გამოვლენის შესაძლებლობების ჩართვის გარეშე. ამ რეჟიმში, თქვენ მიიღებთ ქსელის გასწვრივ გადის პაკეტების პირდაპირ კითხვას. პაკეტის მორების რეჟიმში, ამ პაკეტის დეტალები იწერება ფაილზე.

Snort– ის შეჭრის გამოვლენის ფუნქციებზე წვდომისას, თქვენ მოიხმართ ანალიზის მოდულს, რომელიც გადის ტრეფიკისთვის წესების მთელ რიგს. ამ წესებს უწოდებენ ”საბაზისო პოლიტიკას” და თუ არ იცით რომელი წესები გჭირდებათ, შეგიძლიათ ჩამოტვირთოთ ისინი Snort ვებსაიტზე. თუმცა, ერთხელ თუ დარწმუნდებით Snort- ის მეთოდოლოგიაში, შეგიძლიათ დაწეროთ თქვენი საკუთარი. ამ IDS- ისთვის არსებობს საზოგადოების დიდი ბაზა ისინი ძალიან აქტიურია ონლაინ რეჟიმში Snort ვებსაიტის საზოგადოების გვერდებზე. შეგიძლიათ მიიღოთ რჩევები და დახმარება სხვა მომხმარებლებისგან და ასევე ჩამოტვირთოთ წესები, რომლებიც Snort- ის გამოცდილი მომხმარებლების მიერ შეიმუშავეს.

წესები გამოავლენს ისეთ მოვლენებს, როგორიცაა სტელსი პორტის სკანირება, ბუფერული გადინების შეტევები, CGI თავდასხმები, SMB ზონდები და OS თითების ანაბეჭდი. გამოვლენის მეთოდები დამოკიდებულია კონკრეტულ წესებზე, რომლებიც გამოყენებულია და ორივე მათგანს მოიცავს ხელმოწერაზე დაფუძნებული მეთოდები და ანომალიაზე დაფუძნებული სისტემები.

Snort- ის პოპულარობამ მიიპყრო მიმდევრები პროგრამული უზრუნველყოფის შემმუშავებელ ინდუსტრიაში. რიგი პროგრამები, რომლებმაც შექმნეს სხვა პროგრამული უზრუნველყოფის სახლები, შეუძლიათ შეასრულონ Snort მიერ შეგროვებული მონაცემების უფრო ღრმა ანალიზები. Ესენი მოიცავს სნორბი, ბაზა, ციყვი, და ანავალური. ამ თანმხლები აპლიკაციების გაკეთებაში დაგეხმარებათ, რომ Snort– ის ინტერფეისი არ არის ძალიან მოსახერხებელი.

3. OSSEC

OSSEC ეკრანის სურათი

OSSEC დგას ღია წყარო HIDS Security. Ეს არის ხელმისაწვდომია წამყვანი ჰიდსი და მისი გამოყენება უფასოა. როგორც მასპინძელზე დაფუძნებული შეჭრის გამოვლენის სისტემა, პროგრამა ფოკუსირდება კომპიუტერზე შესული ჟურნალის ფაილებზე. იგი აკონტროლებს შემოწმების ხელმოწერებს ყველა თქვენი ჟურნალის ფაილში, შესაძლო ჩარევის დასადგენად. Windows- ზე, ის შეინახავს ჩანართებს რეესტრის ნებისმიერ ცვლილებებზე. Unix– ის მსგავსი სისტემების საშუალებით, ის მონიტორინგს გაუწევს root ანგარიშზე მისვლის ნებისმიერ მცდელობას. მიუხედავად იმისა, რომ OSSEC არის ღია კოდის პროექტი, ის სინამდვილეში ეკუთვნის Trend Micro- ს, უსაფრთხოების პროგრამების ცნობილ მწარმოებელს.

ძირითადი მონიტორინგის პროგრამა შეიძლება დაფაროს ერთი კომპიუტერი ან რამდენიმე მასპინძელი, მონაცემთა კონსოლიდაცია ერთ კონსოლში. მიუხედავად იმისა, რომ არსებობს Windows აგენტი, რომელიც საშუალებას აძლევს ვინდოუსის კომპიუტერების მონიტორინგს, ძირითადი პროგრამა შეიძლება მხოლოდ დაინსტალირდეს Unix- ის მსგავსი სისტემის საშუალებით, რაც ნიშნავს Unix, Linux ან Mac OS. ძირითადი პროგრამისთვის OSSEC არის ინტერფეისი, მაგრამ ეს დაყენებულია ცალკე და აღარ არის მხარდაჭერილი. OSSEC– ის რეგულარულმა მომხმარებლებმა აღმოაჩინეს სხვა პროგრამები, რომლებიც კარგად მუშაობს მონაცემების შეგროვების წინაპირობა: მოიცავს Splunk, Kibana და Graylog.

OSSEC– ით დაფარული ჟურნალის ფაილები შეიცავს FTP, ფოსტა და ვებ სერვერის მონაცემებს. იგი ასევე აკონტროლებს ოპერაციული სისტემის მოვლენების ჟურნლებს, ბუხრის და ანტივირუსულ მორებს და ცხრილებს, და ტრაფიკის ჟურნალებს. OSSEC– ის ქცევა კონტროლდება იმ წესების დაცვით, რომელსაც თქვენ დააინსტალირებთ. ეს შეგიძლიათ შეიძინოთ როგორც დანამატები დიდი მომხმარებლის საზოგადოებისგან, რომელიც აქტიურია ამ პროდუქტისთვის. პოლიტიკა განსაზღვრავს საგანგაშო მდგომარეობას. ამ სიგნალების ჩვენება შესაძლებელია კონსოლზე ან იგზავნება როგორც შეტყობინებები ელ.ფოსტით. Trend Micro გთავაზობთ OSSEC- ს მხარდაჭერას საფასურის მისაღებად.

4. ManageEngine EventLog ანალიზატორი

მენეჯმენტი არის IT ინფრასტრუქტურის მონიტორინგისა და მართვის გადაწყვეტილებების წამყვანი მწარმოებელი. EventLog ანალიზატორი კომპანიის უსაფრთხოების პროდუქტების ნაწილია. Ეს არის შიდსი აქცენტი კეთდება სტანდარტული პროგრამებისა და ოპერაციული სისტემების მიერ წარმოქმნილი ჟურნალის ფაილების მართვაზე და ანალიზზე. ინსტრუმენტი ინსტალდება Windows სერვერი ან Linux. ის აგროვებს მონაცემებს იმ ოპერაციული სისტემების და აგრეთვე Mac OS, IBM AIX, HP UX, და სოლარი სისტემები. Windows სისტემების ჩანაწერები შეიცავს წყაროებს Windows Server Windows Vista და ზემოდან და Windows DHCP სერვერიდან.

ოპერაციული სისტემების გარდა, მომსახურება აგროვებს და აერთიანებს მორებს Microsoft SQL სერვერი და ორაკული მონაცემთა ბაზა. მას ასევე შეუძლია მოახდინოს სიგნალების გადაცემა მრავალი ანტივირუსული სისტემიდან, მათ შორის Microsoft Antimalware, ESET, სოფოს, ნორტონი, კასპერსკი, ცეცხლი, Malwarebytes, მაკაფეი, და Symantec. ის შეაგროვებს მორებს ვებ სერვერებიდან, ფეიერვერკებიდან, ჰიპერვიზორებიდან, მარშრუტიზატორები, კონცენტრატორები და დაუცველების სკანერები..

EventLog Analyzer აგროვებს ჟურნალის შეტყობინებებს და ფუნქციონირებს ლოგის ფაილების სერვერად, აწყობს შეტყობინებებს ფაილებსა და დირექტორიებში, მესიჯის წყაროსა და თარიღის მიხედვით. სასწრაფო გაფრთხილებები ასევე გადაეგზავნება EventLog Analyzer- ს დაფის გამგეობას და მისი საშუალებით შეგიძლიათ იხილოთ სამაგიდო სისტემების დახმარება როგორც ბილეთები ტექნიკოსების მხრიდან დაუყოვნებელი ყურადღების პროვოცირებისთვის. გადაწყვეტილებას იღებს იმაზე, თუ რა მოვლენები წარმოადგენს უსაფრთხოების შესაძლო დარღვევას საფრთხის სადაზვერვო მოდული ის შედის პაკეტში.

სერვისში შედის ჟურნალების ავტომატური ჩხრეკა და მოვლენების კორელაცია, უსაფრთხოების რეგულარული მოხსენებების შედგენის მიზნით. ამ ანგარიშებს შორისაა პრივილეგირებული მომხმარებლების მონიტორინგისა და აუდიტის ფორმატი (PUMA) და მრავალფეროვანი ფორმატები, რომლებიც საჭიროა შესაბამისობის მისაღწევად. PCI DSS, ფისმა, ISO 27001, GLBA, HIPAA, SOX, და GDPR.

ManageEngine EventLog ანალიზატორი ხელმისაწვდომია სამ გამოცემაში. ამათგან პირველი არის უფასოა. ამასთან, უფასო გამოცემა შემოიფარგლება ხუთი წყაროდან ჟურნალის შეტყობინებების მონიტორინგით, რაც ნამდვილად არ არის საკმარისი ნებისმიერი მცირე ბიზნესისათვის, ძალიან მცირე საწარმოების მიღმა. ორი ფასიანი გამოცემაა პრემია და Განაწილებული. განაწილებული გეგმა მნიშვნელოვნად იაფია, ვიდრე Premium გეგმა. Premium სისტემა საკმარისი უნდა იყოს ერთჯერადი საწარმოების უმეტესობისათვის, ხოლო განაწილებული ვერსია მოიცავს მრავალ საიტს და ჩანაწერების ჩანაწერის შეუზღუდავი რაოდენობას. სისტემაში შეგიძლიათ შეამოწმოთ 30-დღიანი უფასო საცდელი ვერსია, რომელსაც აქვს ლიმიტი 2000 ჟურნალის შეტყობინების წყაროდან.

5. სურიკატა

Suricata ეკრანის სურათი

Suricata ალბათ Snort– ის მთავარი ალტერნატივაა. არსებობს უმთავრესი უპირატესობა, რომელსაც Suricata– ს აქვს Snort– ის მიმართ, ეს არის ის, რომ ის აგროვებს მონაცემებს განაცხადის ფენაში. ეს გადალახავს სიბრმავეს, რომ Snort– მა ხელი მოაწერა ხელმოწერებზე, რომელიც გაყოფილია რამდენიმე TCP პაკეტზე. Suricata ელოდება სანამ პაკეტებში არსებული ყველა მონაცემი შეიკრიბება, სანამ ის ინფორმაციას ანალიზში გადაიტანს.

მიუხედავად იმისა, რომ სისტემა მუშაობს აპლიკაციის ფენაში, მას შეუძლია მონიტორინგი გაუწიოს პროტოკოლის აქტივობას უფრო დაბალ დონეზე, მაგალითად, IP, TLS, ICMP, TCP და UDP. ის იკვლევს რეალურ დროში ტრაფიკს სხვადასხვა ქსელის პროგრამებისთვის, მათ შორის FTP, HTTP და SMB. მონიტორს არ აქვს მხოლოდ პაკეტის სტრუქტურა. მას შეუძლია შეისწავლოს TLS სერთიფიკატები და ფოკუსირება გააკეთოს HTTP მოთხოვნებზე და DNS ზარებზე. ფაილების მოპოვების ობიექტი საშუალებას გაძლევთ შეისწავლოთ და იზოლირება საეჭვო ფაილები ვირუსის ინფექციის მახასიათებლებით.

Suricata თავსებადია Snort- თან და შეგიძლიათ გამოიყენოთ იგივე VRT წესები, რომლებიც დაწერილია NIDS- ის ლიდერისთვის. მესამე მხარის ხელსაწყოები, მაგალითად სნორბი, ბაზა, ციყვი, და ანავალური Snort– თან ინტეგრირებას შეუძლია Suricata– ს გადასვლა. ასე რომ, რჩევებისა და უფასო წესების Snort თემში წვდომა შეიძლება დიდ სარგებელს მოუტანს Suricata მომხმარებლებს. ჩამონტაჟებული სკრიპტირების მოდული საშუალებას გაძლევთ დააკავშიროთ წესები და მიიღეთ უფრო ზუსტი გამოვლენის პროფილი, ვიდრე მოგცემთ Snort- ს. Suricata იყენებს როგორც ხელმოწერას, ასევე ანომალიაზე დაფუძნებულ მეთოდებს.

Suricata- ს აქვს ჭკვიანი დამუშავების არქიტექტურა, რომელიც აპარატურის აჩქარებს საშუალებას აძლევს მრავალი სხვადასხვა პროცესორის გამოყენებით ერთდროულად, მრავალ ხრახნიანი საქმიანობისთვის. მას შეუძლია ნაწილობრივ იმოძრაოს თქვენს გრაფიკულ ბარათზე. დავალებების ეს განაწილება დატვირთვას ახდენს მხოლოდ ერთ მასპინძელზე. ეს კარგია, რადგან ამ NIDS- ის ერთ – ერთი პრობლემა ის არის, რომ იგი საკმაოდ მძიმეა დამუშავების შესახებ. Suricata- ს აქვს საკმაოდ მოქნილი დაფა, რომელიც მოიცავს გრაფიკას, რათა გაადვილდეს ანალიზი და პრობლემების ამოცნობა. მიუხედავად ამ ძვირადღირებული გარეგნობისა, Suricata უფასოა.

6. ბრ

Bro ეკრანიზაცია

ბრო არის უფასო NIDS ეს სცილდება შეჭრის გამოვლენას და შეუძლია მოგაწოდოთ ქსელის მონიტორინგის სხვა ფუნქციები. Bro მომხმარებელთა საზოგადოება მოიცავს ბევრ აკადემიურ და სამეცნიერო-კვლევით ინსტიტუტს.

Bro- ს შეჭრის გამოვლენის ფუნქცია შესრულებულია ორ ფაზაში: ტრაფიკის ხე და ანალიზი. როგორც Suricata- სთან, Bro– ს აქვს უდიდესი უპირატესობა Snort– ის მიმართ, რომ მისი ანალიზი მოქმედებს განაცხადის ფენზე. ეს საშუალებას გაძლევთ ხედვა პაკეტებში, რათა მიიღოთ ქსელის პროტოკოლის საქმიანობის ფართო ანალიზი.

ბრუსის ანალიზის მოდულს ორი ელემენტი აქვს, რომლებიც მუშაობენ ხელმოწერის ანალიზზე და ანომალიის გამოვლენაზე. ამ ანალიზის პირველი საშუალებებია Bro ღონისძიების ძრავა. ეს ტრეკავს მოვლენების პროვოცირებისთვის, მაგალითად, ახალი TCP კავშირი ან HTTP მოთხოვნა. თითოეული მოვლენა შედის, ასე რომ, სისტემის ეს ნაწილი ნეიტრალურია პოლიტიკის საშუალებით – ის უბრალოდ უზრუნველყოფს იმ მოვლენების ჩამონათვალს, რომლებმაც ანალიზმა შეიძლება გამოავლინოს მოქმედებების განმეორება ან იმავე მომხმარებლის ანგარიშის მიერ წარმოქმნილი საეჭვოა მრავალფეროვანი აქტივობები..

ამ მოვლენის მონაცემების მოპოვებას ასრულებს პოლიტიკის სკრიპტები. საგანგაშო მდგომარეობა მოქმედებას გამოიწვევს Bro არის შეჭრის პრევენციის სისტემა ასევე ქსელის ტრაფიკის ანალიზატორი. პოლიტიკის სკრიპტები შეიძლება მორგებულია, მაგრამ ისინი ჩვეულებრივ იწარმოება სტანდარტული ჩარჩოს გასწვრივ, რომელიც გულისხმობს ხელმოწერის შესაბამისობას, ანომალიის გამოვლენას და კავშირების ანალიზს..

შეგიძლიათ თვალყური ადევნოთ HTTP, DNS და FTP საქმიანობას Bro- სთან და ასევე აკონტროლოთ SNMP- ის ტრაფიკი, საშუალებას გაძლევთ შეამოწმოთ მოწყობილობის კონფიგურაციის ცვლილებები და SNMP Trap პირობები. თითოეული პოლიტიკა არის წესების მთელი რიგი და თქვენ არ შემოიფარგლებით მხოლოდ აქტიური პოლიტიკის რიცხვებით ან პროტოკოლის დასტის ფენებით, რომელთა შემოწმებაც შეგიძლიათ. დაბალ დონეზე, შეგიძლიათ დააკვირდეთ DDoS syn წყალდიდობის შეტევებს და აღმოაჩინეთ პორტის სკანირება.

Bro შეიძლება დამონტაჟდეს Unix, Linux და Mac OS.

7. საგანი

საგნის ეკრანიზაცია

საგა არის მასპინძელზე დაფუძნებული შეჭრის გამოვლენის სისტემა, ასე რომ, ეს ალტერნატივაა OSSEC და ის ასევე არის უფასო გამოყენება. მიუხედავად იმისა, რომ არის HIDS, პროგრამა თავსებადია Snort– ის მიერ შეგროვებულ მონაცემებთან, რომელიც წარმოადგენს NIDS- ის სისტემას. ეს თავსებადობა ვრცელდება სხვა ინსტრუმენტებზეც, რომელთა გამოყენებაც შეიძლება Snort– თან ერთად, მაგალითად სნორბი, ბაზა, ციყვი, და ანავალური. მონაცემები წყაროების Bro და Suricata ასევე შეიძლება შესანახი საგანში. ეს ინსტრუმენტი შეიძლება დამონტაჟდეს Unix, Linux და Mac OS. მიუხედავად იმისა, რომ თქვენ არ შეგიძლიათ გაუშვათ Sagan Windows- ზე, შეგიძლიათ Windows- ის ღონისძიების ჟურნალი შეიტანოთ მასში.

მკაცრად რომ ვთქვათ, Sagan არის ჟურნალის ანალიზის ინსტრუმენტი. ის ელემენტი, რომელსაც მას დამოუკიდებელი NIDS– ს გადაკეთება არ აქვს, არის პაკეტის სრიფტის მოდული. ამასთან, ეს ნიშნავს, რომ Sagan არ საჭიროებს სპეციალურ აპარატურას და მას აქვს მოქნილობა, რომ გააანალიზოს როგორც მასპინძელი ლოგები, ასევე ქსელის ტრაფიკის მონაცემები. ეს ინსტრუმენტი უნდა იყოს თანმხლები მონაცემთა შეგროვების სხვა სისტემებში, რათა შეიქმნას სრული შეჭრის გამოვლენის სისტემა.

საგნის ზოგიერთი ლამაზი თვისება მოიცავს IP ლოკატორს, რომელიც საშუალებას გაძლევთ ნახოთ IP მისამართების გეოგრაფიული მდებარეობა რომლებიც გამოვლენილია საეჭვო საქმიანობის შედეგად. ეს საშუალებას მოგცემთ შეაგროვოთ IP მისამართების მოქმედებები, რომლებიც, როგორც ჩანს, კონცერტურად მუშაობს, თავდასხმის დასადგენად. Sagan- ს შეუძლია გადაანაწილოს მისი დამუშავება რამდენიმე მოწყობილობაზე, ანათებს დატვირთვა თქვენი საკვანძო სერვერის პროცესორზე.

ეს სისტემა მოიცავს სკრიპტის შესრულებას, რაც ნიშნავს რომ იგი გამოიმუშავებს სიგნალიზაციას და შეასრულებს მოქმედებებს შეჭრის სცენარების გამოვლენასთან დაკავშირებით. მას შეუძლია ურთიერთქმედება firewall მაგიდებთან IP აკრძალვების განსახორციელებლად კონკრეტული წყაროდან საეჭვო მოქმედების შემთხვევაში. ასე რომ, ეს არის შეჭრის პრევენციის სისტემა. ანალიზის მოდული მუშაობს როგორც ხელმოწერის, ასევე ანომალიის გამოვლენის მეთოდოლოგიით.

Sagan არ აკეთებს მას საუკეთესო პირადობის მოწმობების ჩამონათვალში, რადგან ის ნამდვილად არ არის კვალიფიკაციის ასლი, რადგან არის ჟურნალის ფაილების ანალიზატორი. ამასთან, მისი HIDS ერთად Nids კონცეფცია splash, იგი საინტერესო წინადადებაა, როგორც ჰიბრიდული IDS ანალიზის ინსტრუმენტი კომპონენტი.

8. უსაფრთხოების ხახვი

უსაფრთხოების ხახვის სურათი

IDS გადაწყვეტილებების შერწყმისთვის შეგიძლიათ სცადოთ უსაფრთხოების უფასო ხახვის სისტემა. ამ ჩამონათვალში IDS ინსტრუმენტების უმეტესი ნაწილი ღია წყაროა. ეს იმას ნიშნავს, რომ ყველას შეუძლია ჩამოტვირთოს წყარო კოდი და შეცვალოს იგი. ეს არის ზუსტად ის, რაც გააკეთა უსაფრთხოების ხახვის შემქმნელმა. მან ელემენტები მიიღო კოდიდან თოფი, სურიკატა, OSSEC, და ბრ და გააკეთეს ისინი, რომ ეს გააკეთონ უფასო Linux– ით დაფუძნებული NIDS / HIDS ჰიბრიდი. უსაფრთხოების ხახვი იწერება Ubuntu– ს გასაშვებად და ასევე ინტეგრირებს ელემენტებს წინა სისტემის სისტემებისა და ანალიზის საშუალებების ჩათვლით სნორბი, სუგილი, სკერტი, კიბანა, ელზა, Xplico, და ქსელის მენეჯერი.

მიუხედავად იმისა, რომ უსაფრთხოების ხახვი კლასიფიცირებულია როგორც NIDS, ის ასევე მოიცავს შიდსის ფუნქციებს. იგი დააკვირდება თქვენს ლოგოს და კონფიგურაციის ფაილებს საეჭვო საქმიანობისთვის და შეამოწმებს ამ ფაილების სიებს ნებისმიერი მოულოდნელი ცვლილებისთვის. უსაფრთხოების ხახვის ქსელის მონიტორინგის ყოვლისმომცველი მიდგომის ერთ – ერთი ნაკლოვანება მისი სირთულეა. მას აქვს რამდენიმე განსხვავებული ოპერაციული სტრუქტურა და არ არის საკმარისი სასწავლო მასალა ინტერნეტით, ან მასში შედის, რომ ქსელის ადმინისტრატორს დაეხმაროს ინსტრუმენტის სრული შესაძლებლობების შესახებ..

ქსელის ანალიზი ტარდება ა პაკეტის სნაიფი, რომელსაც შეუძლია ეკრანზე მიმავალი მონაცემების ჩვენება და ფაილზე ჩაწერა. Security ხახვის ანალიზატორი არის იქ, სადაც საქმე რთულდება, რადგან იმდენი სხვადასხვა ინსტრუმენტი არსებობს სხვადასხვა საოპერაციო პროცედურებით, რომელთა უმეტესობაც შეიძლება უგულებელყოთ.. Kibana- ს ინტერფეისი უზრუნველყოფს Dashboard უსაფრთხოების ხახვს და მასში მოცემულია რამდენიმე ლამაზი გრაფიკი და სქემა სტატუსის ცნობის გასაადვილებლად.

ორივე ხელმოწერაზე დაფუძნებული და ანომალიაზე დაფუძნებული განგაშის წესები შედის ამ სისტემაში. თქვენ იღებთ ინფორმაციას მოწყობილობის სტატუსზე, ასევე ტრაფიკის შესახებ. ამ ყველაფერს ნამდვილად შეეძლო გარკვეული მოქმედების ავტომატიზაციის გაკეთება, რაც უსაფრთხოების ხახვს აკლია.

9. დამხმარე

დამხმარე ეკრანის სურათი

”Advanced Intrusion Detection Environment” დასაწერად ბევრი რამ არის, ამიტომ ამ IDS- ის შემქმნელებმა გადაწყვიტეს მისი სახელის შემოკლება AIDE– ზე. Ეს არის უფასო HIDS რომ ფოკუსირდება rootkit გამოვლენასა და ფაილის ხელმოწერის შედარებებზე Unix და Unix– ის მსგავსი ოპერაციული სისტემებისთვის, ასე რომ ის იმუშავებს Mac OS– სა და Linux– ზე, ასევე.

თუ გაითვალისწინეთ Tripwire, უკეთესი იქნებოდა, რომ AID– ს გადახედოთ, რადგან ეს მოსახერხებელი ხელსაწყო უფასო ჩანაცვლებაა. Tripwire- ს აქვს უფასო ვერსია, მაგრამ უამრავი ძირითადი ფუნქცია, რომელსაც ყველაზე მეტი ადამიანი სჭირდება IDS- დან, ხელმისაწვდომია მხოლოდ ფასიანი Tripwire- ით, ასე რომ, AID– ით მიიღებთ ბევრად მეტ ფუნქციურობას..

სისტემა ადგენს ადმინისტრაციულ მონაცემთა ბაზას კონფიგურაციის ფაილებიდან, როდესაც ის პირველად დაინსტალირდება. რომ ქმნის საწყისს და შემდეგ კონფიგურაციებში ნებისმიერი ცვლილების დაბრუნება შესაძლებელია როდესაც ხდება სისტემის პარამეტრებში ცვლილებები. ინსტრუმენტი მოიცავს როგორც ხელმოწერის, ასევე ანომალიის მონიტორინგის მეთოდებს. სისტემის შემოწმება გაიცემა მოთხოვნის საფუძველზე და არ ტარდება მუდმივად, რაც ოდნავ უკმარისობაა ამ შიდსთან. იმის გამო, რომ ეს არის ბრძანების ხაზის ფუნქცია, შეგიძლიათ დანიშნოთ ის, რომ პერიოდულად იმუშაოთ ოპერაციული მეთოდით, მაგალითად, ქრონი. თუ გსურთ რეალურ დროში მონაცემები გქონდეთ, შეგიძლიათ უბრალოდ დაგეგმოთ, რომ ის ძალიან ხშირად იმუშავებს.

AIDE ნამდვილად მხოლოდ მონაცემთა შედარების ინსტრუმენტია და იგი არ შეიცავს სკრიპტირების ენას. თქვენ უნდა დაეყრდნოთ თქვენს სკრიპტირების უნარებს, რომ მიიღოთ მონაცემების ძებნა და განახორციელოთ ფუნქციები ამ HIDS– ში. შესაძლოა, AIDE უფრო მეტად განიხილებოდეს როგორც კონფიგურაციის მართვის ინსტრუმენტი, ვიდრე ინტროდუქციის გამოვლენის სისტემა.

10. გახსენით WIPS-NG

OpenWIPS-NG ეკრანის სურათი

თუ გსმენიათ Aircrack-NG- ს შესახებ, მაშინ შეიძლება ამაზე ცოტა ფრთხილად იყოთ ქსელზე დაფუძნებული IDS რადგან იგი შეიმუშავა იმავე მეწარმემ. Aircrack-NG არის უკაბელო ქსელის პაკეტის მაცივარი და პაროლის დამტენი, რომელიც გახდა ყველა wifi ქსელის ჰაკერების ინსტრუმენტების ინსტრუმენტის ნაწილი.

WIPS-NG- ში ჩვენ ვიხილავთ ბრაკონიერ-მოქცეული გამტაცებლის შემთხვევას. ეს უფასო პროგრამა შექმნილია უკაბელო ქსელების დასაცავად. მიუხედავად იმისა, რომ Aircrack-NG- ს შეუძლია ოპერაციული სისტემის მთელი რიგი დატვირთვა, Open WIPS-NG მუშაობს მხოლოდ Linux- ზე. სახელწოდება “WIPS” ნიშნავს “უსადენო შეჭრის პრევენციის სისტემას”, ასე რომ, ეს NIDS ახდენს და აფიქსირებს შეჭრას.

სისტემა მოიცავს სამ ელემენტს:

  • სენსორი
  • სერვერი
  • ინტერფეისი

არსებობს გეგმები, რომ დაუშვას WIPS-NG ინსტალაცია მრავალი სენსორის მონიტორინგზე. თუმცა, ამ ეტაპზე, თითოეული ინსტალაცია შეიძლება შეიცავდეს მხოლოდ ერთ სენსორს. ეს არ უნდა იყოს ზედმეტი პრობლემა, რადგან თქვენ შეგიძლიათ მიაღწიოთ მრავალ დავალებას მხოლოდ ერთი სენსორის საშუალებით. სენსორი არის პაკეტის სნაიფი, რომელსაც ასევე აქვს მანიპულირება უკაბელო ტრანსმისიის შუა რიცხვებში. ასე რომ, სენსორი მოქმედებს როგორც გადამცემი სისტემისთვის.

სენსორის მიერ შეგროვილი ინფორმაცია სერვერს ეგზავნება, სადაც ხდება მაგი. სერვერის პროგრამის კომპლექტი შეიცავს ანალიზის ძრავას, რომელიც გამოავლენს შეჭრის შაბლონებს. გამოვლენილი ინტერვენციების დაბლოკვის მიზნით ინტერვენციის პოლიტიკა ასევე წარმოებულია სერვერზე. ქსელის დასაცავად საჭირო მოქმედებები სენსორთან მითითებით იგზავნება.

სისტემის ინტერფეისის მოდული არის დაფა, რომელიც აჩვენებს მოვლენებს და სიგნალებს სისტემის ადმინისტრატორთან. ეს არის ასევე პარამეტრების გაფართოება და თავდაცვითი მოქმედებების რეგულირება ან გადახურვა.

11. სამჰაინი

სამჰინის ეკრანის ანაბეჭდი

Samhain, წარმოებული Samhain Design Labs გერმანიაში მასპინძელზე დაფუძნებული შეჭრის გამოვლენის სისტემა, რომლის გამოყენება უფასოა. მისი გაშვება შესაძლებელია ერთ ცალ კომპიუტერზე ან მრავალ მასპინძელთან, რაც გთავაზობთ მონაცემთა ცენტრალიზებულ შეკრებას თითოეულ აპარატზე მუშა აგენტის მიერ აღმოჩენილ მოვლენებზე..

თითოეული აგენტის მიერ შესრულებული დავალებები მოიცავს ფაილის მთლიანობის შემოწმებას, ჟურნალის ფაილების მონიტორინგს და პორტების მონიტორინგს. პროცესები ეძებს rootkit ვირუსებს, Rogue SUID- ებს (მომხმარებელთა დაშვების უფლებები) და დამალულ პროცესებს. სისტემა იყენებს დაშიფვრას აგენტებსა და ცენტრალურ კონტროლერს შორის კომუნიკაციებს მრავალ მასპინძელ განხორციელებაში. ჟურნალის ფაილური მონაცემების მიწოდებასთან დაკავშირებული კავშირები მოიცავს ავთენტიფიკაციის მოთხოვნებს, რომლებიც ხელს უშლის შემოტევების გატაცებას ან შეცვლის მონიტორინგის პროცესს..

სამჰინის მიერ შეგროვებული მონაცემები საშუალებას აძლევს ქსელში საქმიანობის ანალიზს და ხაზი გაუსვას შეჭრის გამაფრთხილებელ ნიშნებს. თუმცა, ეს ხელს არ შეუშლის შეჭრას ან გაასუფთავებს თაღლითობის პროცესებს. თქვენ უნდა შეინარჩუნოთ თქვენი კონფიგურაციის ფაილების და მომხმარებლის პირადობის სარეზერვო ასლები, რათა გადავწყვიტოთ ის პრობლემები, რაც სამჰაინის მონიტორმა გამოავლინა.

ჰაკერების და ვირუსის შეტევების ერთი პრობლემა ის არის, რომ შემტევი გადადგამს ნაბიჯებს. ეს მოიცავს მონიტორინგის პროცესების მკვლელობას. სამჰაინი განათავსებს სტატიკური ტექნოლოგიას დაიცვან მისი პროცესები, რითაც თავიდან აიცილებენ შემოტევებს IDS- ის მანიპულირების ან მკვლელობისგან. ამ სტელოს მეთოდს უწოდებენ “სტეგანოგრაფიას”.

ცენტრალური ჟურნალის ფაილები და კონფიგურაციის სარეზერვო ასოები გაფორმებულია PGP ღილაკზე, რათა ხელი შეუშალონ შეტევების მიერ.

Samhain არის ღია წყაროს სისტემა, რომლის ჩამოტვირთვა შეგიძლიათ უფასოდ. იგი შეიქმნა POSIX სახელმძღვანელოს გასწვრივ, რათა ის შეესაბამებოდეს Unix- ს, Linux- ს და Mac OS- ს. ცენტრალური მონიტორის შემადგენლობაში შედის მონაცემები განსხვავებული ოპერაციული სისტემებისგან.

12. Fail2Ban

Fail2ban ეკრანის სურათი

Fail2Ban არის ა ჰოსტზე დაფუძნებული შეჭრის გამოვლენის უფასო სისტემა აქცენტი გაკეთებულია ლოგოს ფაილებში ჩაწერილი შემაშფოთებელი მოვლენების გამოვლენაზე, როგორიცაა ლოგის გადაჭარბებული მცდელობა. სისტემა ადგენს ბლოკებს IP მისამართებზე, რომლებიც აჩვენებენ საეჭვო ქცევას. ეს აკრძალვები, ჩვეულებრივ, მხოლოდ რამდენიმე წუთს გრძელდება, მაგრამ ეს საკმარისია სტანდარტული ავტომატიზირებული უხეში ძალის პაროლის გაუქმების სცენარის შესაშლელად. ეს პოლიტიკა ასევე შეიძლება ეფექტური იყოს DoS შეტევის წინააღმდეგ. IP მისამართის აკრძალვის ფაქტობრივი სიგრძე შეიძლება შეცვალოს ადმინისტრატორმა.

Fail2Ban სინამდვილეში არის შეჭრის პრევენციის სისტემა იმის გამო, რომ მას შეუძლია განახორციელოს ზომები, როდესაც გამოვლენილია საეჭვო მოქმედება და არ არის მხოლოდ ჩაწერილი და შესაძლო შეჭრა.

ამრიგად, სისტემის ადმინისტრატორი სიფრთხილით ეკიდება წვდომის პოლიტიკას პროგრამის შექმნის დროს პრევენციის სტრატეგია, რომელიც ძალიან მჭიდროა, ადვილად გამორიცხავს კეთილგანწყობილ მომხმარებლებს. Fail2Ban– ის პრობლემა ის არის, რომ იგი ფოკუსირდება განმეორებით მოქმედებებზე ერთი მისამართიდან. ეს არ აძლევს შესაძლებლობას გაუმკლავდეს განაწილებულ პაროლთან დაკავშირებულ კამპანიებს ან DDoS შეტევებს.

Fail2Ban წერია პითონში და მას შეუძლია დაწეროს სისტემის ცხრილები საეჭვო მისამართების დასაკრძალად. ეს ავტომატური ჩამკეტები ხდება Netfilter, iptables, PF firewall- ის წესებში და TCP Wrapper- ის hosts.deny ცხრილში..

სისტემის თავდასხმის მონიტორინგის ფარგლები განისაზღვრება სერიის მიხედვით ფილტრები ეს ინსტრუქციას უწევს IPS- ს, რომელ სერვისებზე დაკვირვება. ესენია Postfix, Apache, კურიერის ფოსტის სერვერი, Lighttpd, sshd, vsftpd და qmail. თითოეული ფილტრი შერწყმულია მოქმედების შესასრულებლად საგანგაშო მდგომარეობის გამოვლენის შემთხვევაში. ფილტრისა და მოქმედების ერთობლიობას ეწოდება “ციხე”.

ეს სისტემა იწერება POSIX სტანდარტზე, ასე რომ მისი ინსტალაცია შესაძლებელია Unix- ის, Linux- ის და Mac OS- ის ოპერაციულ სისტემებზე.

როგორ შევარჩიოთ IDS

ქსელური დაფუძნებული ინტეგრაციის აღმოჩენის სისტემების აპარატურულმა მოთხოვნამ შეიძლება ხელი შეგიშალოთ და აიძულა მიგიყვანოთ მასპინძელზე დაფუძნებული სისტემისკენ, რაც ადგომა და გაშვება ბევრად უფრო ადვილია. ამასთან, არ გაითვალისწინოთ ის ფაქტი, რომ თქვენ არ გჭირდებათ სპეციალიზირებული აპარატურა ამ სისტემებისთვის, მხოლოდ ერთგულ მასპინძელზე.

Სინამდვილეში, თქვენ უნდა დაათვალიეროთ თქვენი ქსელისთვის როგორც HIDS და NIDS. ეს იმიტომ ხდება, რომ თქვენ უნდა დააკვირდით თქვენს კომპიუტერებზე კონფიგურაციის ცვლილებებს და root წვდომას, ასევე თქვენს ქსელში მოძრაობის ნაკადის უჩვეულო საქმიანობას ეძებთ..

კარგი ამბავი ის არის, რომ ჩვენს ჩამონათვალში არსებული ყველა სისტემა უფასოა ან აქვს უფასო ცდები, ასე რომ თქვენ შეგიძლიათ სცადოთ რამდენიმე მათგანი. ამ სისტემების მომხმარებელთა საზოგადოების ასპექტმა შეიძლება მიიპყროს ერთი, განსაკუთრებით, თუ უკვე გყავთ კოლეგა, რომელსაც აქვს ამის გამოცდილება. სხვა ქსელის ადმინისტრატორებისგან რჩევების მიღების შესაძლებლობა ამ სისტემების საბოლოო გათამაშებაა და მათ უფრო მიმზიდველს გახდის, ვიდრე ფასიანი გადაწყვეტილებების მიღებას პროფესიონალური დახმარების სამაგიდო დახმარებით.

თუ თქვენი კომპანია არის სექტორში, რომელიც მოითხოვს უსაფრთხოების სტანდარტის შესაბამისობას, მაგალითად PCI, მაშინ ნამდვილად აპირებთ ადგილზე IDS- ს საჭიროებას. აგრეთვე, თუ პირად ინფორმაციას ფლობთ საზოგადოების წევრებზე, თქვენი მონაცემების დაცვის პროცედურები უნდა დასრულდეს თქვენი კომპანიის საჩივრის შეფერხების თავიდან ასაცილებლად.

მიუხედავად იმისა, რომ ამას ალბათ თქვენი სამუშაო დღე სჭირდება მხოლოდ თქვენი ქსელის ადმინისტრატორი უჯრაში გადასასვლელად, არ გადადოთ გადაწყვეტილება შეტევის გამოვლენის სისტემის დაყენების შესახებ. იმედი მაქვს, რომ ამ სახელმძღვანელო გიბიძგეთ სწორი მიმართულებით. თუ რაიმე რეკომენდაცია გაქვთ თქვენს საყვარელ IDS– ზე და თუ თქვენ გაქვთ გამოცდილება ამ სახელმძღვანელოში ნახსენები რომელიმე სისტემის შესახებ, დატოვეთ შენიშვნა კომენტარების სექციაში ქვემოთ და გაუზიარეთ თქვენი აზრები საზოგადოებას..

შემდგომი კითხვა

შედარებით ქსელის სახელმძღვანელო

  • 2018 წლის LAN მონიტორინგის მოწინავე 10 საუკეთესო ინსტრუმენტი
  • DHCP– ის საბოლოო სახელმძღვანელო
  • SNMP– ის საბოლოო სახელმძღვანელო
  • მობილური მოწყობილობის მართვის საბოლოო სახელმძღვანელო (MDM) 2018 წელს
  • 2018 წლის BYOD– ის საბოლოო სახელმძღვანელო
  • ტოპ 10 სერვერის მენეჯმენტი & 2018 წლის მონიტორინგის ინსტრუმენტები
  • საუკეთესო უფასო NetFlow ანალიზატორები და კოლექციონერები Windows- ისთვის
  • 6 საუკეთესო უფასო ქსელის დაუცველობის სკანერები და მათი გამოყენება
  • 2018 წლის 8 საუკეთესო პაკეტის სნაიპერები და ქსელის ანალიზატორები
  • სიჩქარის მონიტორინგის საუკეთესო უფასო პროგრამა და ინსტრუმენტები, ქსელის ტრაფიკის გამოყენების გასაანალიზებლად

სხვა ინფორმაცია ქსელის მონიტორინგის შესახებ

  • ვიკიპედია: შეჭრის გამოვლენის სისტემა
  • ტექნიკური მიზანი: შეჭრის გამოვლენის სისტემა (IDS)
  • CSO: რა არის შეჭრის გამოვლენის სისტემა?
  • ლიფტი: შესავალი ინტროდუქციის აღმოჩენის სისტემებში
  • YouTube: ჩანერგვის გამოვლენის სისტემები
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me