Система обнаружения вторжений (IDS) и ее детальная рабочая функция-SOC / SIEM | DedicateT.com

Регистрация
18.12.2017
Сообщения
786
Симпатии
349
Баллы
180
#1
IDS.png

Система обнаружения вторжений (IDS) - это тип программного обеспечения безопасности, предназначенный для автоматического оповещения администраторов, когда кто-то или что-то пытается скомпрометировать информационную систему с помощью вредоносных действий, таких как DDOS-атаки или нарушения политики безопасности.

IDS работает путем мониторинга активности системы путем изучения уязвимостей в системе, целостности файлов и проведения анализа шаблонов на основе уже известных атак. Он также автоматически отслеживает интернет для поиска любой из последних угроз , которые могут привести к будущей атаке.

DDOS.png

Метод обнаружения
Идентификаторы могут обнаружить только атаку. Он не может предотвратить атаки. Напротив, IP-адреса предотвращают атаки, обнаруживая их и останавливая их, прежде чем они достигнут цели.

Атака-это попытка нарушить конфиденциальность, целостность или доступность .
Два основных метода обнаружения основаны на сигнатурах и аномалиях . Любой тип идентификаторов (HIDS или NIDS ) может обнаруживать атаки на основе сигнатур, аномалий или обоих.

HIDS отслеживает сетевой трафик, достигающий сетевого адаптера, а NIDS отслеживает трафик в сети.

Система обнаружения вторжений на основе хоста (HIDS)

1560108745905.png

Система обнаружения вторжений на основе хоста (HIDS) - это дополнительное программное обеспечение, установленное в системе, такой как рабочая станция или сервер.

Он обеспечивает защиту отдельного хоста и может обнаруживать потенциальные атаки и защищать критические файлы операционной системы. Основной целью любых идентификаторов является мониторинг трафика.

Роль системы обнаружения вторжений хоста является пассивной, только сбор, идентификация, регистрация и оповещение. Примеры HIDS:
Основной целью любых идентификаторов является мониторинг трафика. Для HIDS этот трафик проходит через сетевую карту (NIC) .Многие IDSs на основе хоста расширились для мониторинга активности приложений в системе.

В качестве одного из примеров можно установить HIDS на разных серверах, подключенных к интернету, таких как веб-серверы, почтовые серверы и серверы баз данных . В дополнение к мониторингу сетевого трафика, достигающего серверов, HIDS может также контролировать серверные приложения.

Стоит подчеркнуть, что HIDS может помочь обнаружить вредоносное программное обеспечение (malware), которое может пропустить традиционное антивирусное программное обеспечение.

Из-за этого многие организации устанавливают HIDS на каждой рабочей станции в качестве дополнительного уровня защиты, в дополнение к традиционному антивирусному программному обеспечению. Точно так же, как ХИДЫ на сервере используются в основном для мониторинга сетевого трафика, ХИДЫ рабочей станции в основном используются для мониторинга сетевого трафика, достигающего рабочей станции.Тем не менее, HIDS может также контролировать некоторые приложения и может защитить локальные ресурсы, такие как файлы операционной системы. В других организациях администраторы устанавливают HIDS только тогда, когда в этом есть необходимость.

Например, если администратор обеспокоен тем, что определенный сервер с собственными данными подвергается повышенному риску атаки, администратор может выбрать установку Хид в этой системе в качестве дополнительного уровня защиты.

Каждый незавершенный сеанс потребляет ресурсы на сервере, и если атака SYN flood продолжается, она может привести к сбою сервера.

Некоторые серверы резервируют определенное количество ресурсов для соединений, и как только атака потребляет эти ресурсы, система блокирует дополнительные соединения. Вместо сбоя сервера атака не позволяет законным пользователям подключиться к серверу.

IDSs и IPSs могут обнаружить атаку SYN flood и ответить на блокировку атаки. Кроме того, многие брандмауэры включают защиту от наводнений, которая может обнаруживать атаки SYN flood и принимать меры для закрытия открытых сеансов.

Сетевая система обнаружения вторжений (NIDS)

1560108841700.png

Сетевая система обнаружения вторжений (NIDS) отслеживает активность в сети. An
администратор устанавливает датчики NIDSs на сетевые устройства, такие как маршрутизаторы и брандмауэры.

Эти датчики собирают информацию и отчитываются перед центральным сервером мониторинга, на котором размещена консоль NIDS.NIDS не в состоянии обнаружить аномалии на отдельных системах или рабочих станциях, если аномалия не вызывает значительную разницу в сетевом трафике.

Кроме того NIDS не удается расшифровать зашифрованный трафик. Другими словами, он может отслеживать и оценивать угрозы в сети только по трафику, передаваемому в виде открытого или незашифрованного трафика.

Важные инструменты для
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться


Примеры сетевых идентификаторов:

У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться


Решение о том, где вы хотите разместить датчики, зависит от того, что вы хотите измерить. Например, датчик на интернет-стороне брандмауэра будет видеть весь трафик.

Однако датчик на внутренней стороне брандмауэра будет видеть только трафик, проходящий через брандмауэр. Другими словами, брандмауэр будет фильтровать некоторые атаки, и внутренний датчик их не увидит.

Если вы хотите увидеть все атаки в сети, установите датчик на стороне интернета. Если вы только хотите увидеть, что проходит, поместите датчики только внутри. Если вы хотите увидеть и то, и другое, поместите датчики в обоих местах.

Обнаружение На Основе Сигнатур
IDSs на основе сигнатур (также называемые definition-based) используют базу данных известных уязвимостей или известных шаблонов атак. Например, злоумышленнику доступны средства для запуска атаки SYN flood на сервер путем простого ввода IP-адреса атакуемой системы.

Затем средство атаки заполняет целевую систему пакетами synchronize (SYN), но никогда не завершает рукопожатие протокола TCP (three-way Transmission Control Protocol) с пакетом final ACK (подтверждение). Если атака не заблокирована, она может потреблять ресурсы в системе и в конечном итоге привести к сбою.

Если атака не заблокирована, она может потреблять ресурсы в системе и в конечном итоге привести к сбою.Однако это известная атака с определенным шаблоном последовательных пакетов SYN с одного IP на другой IP.

Система обнаружения вторжений может обнаружить эти шаблоны, если база данных сигнатур включает определения атак. Процесс очень похож на то, что антивирусное программное обеспечение использует для обнаружения вредоносных программ. Для защиты от текущих угроз необходимо регулярно обновлять сигнатуры системы обнаружения вторжений и определения антивирусов поставщика.

Обнаружение Аномалий
Обнаружение аномалий (также называемое эвристическим или поведенческим ) сначала определяет нормальную работу или нормальное поведение. Для этого создается базовый уровень производительности при нормальных условиях эксплуатации.

Идентификаторы обеспечивают непрерывный мониторинг, постоянно сравнивая текущее поведение сети с базовым уровнем. Когда система обнаружения вторжений обнаруживает ненормальную активность (вне нормальных границ, как определено в базовой линии), она выдает предупреждение, указывающее на потенциальную атаку.

Обнаружение аномалий аналогично тому, как работает эвристическое антивирусное программное обеспечение. Хотя внутренние методы различны, они изучают действия и принимают решения, выходящие за рамки базы данных сигнатур или определений.

Это может быть эффективным при обнаружении эксплойтов нулевого дня . Уязвимость нулевого дня обычно определяется как уязвимость, неизвестная поставщику . Однако в некоторых случаях администраторы определяют ноль-

Однако в некоторых случаях администраторы определяют эксплойт нулевого дня как эксплойт, когда поставщик не выпустил патч.

Другими словами, поставщик может знать об уязвимости, но еще не написал, не протестировал и не выпустил патч для ее закрытия.В обоих случаях уязвимость существует и системы не защищены. Если злоумышленники обнаруживают уязвимости, они пытаются их использовать. Тем не менее, атака имеет потенциал для создания аномального трафика, позволяющего системе на основе аномалий обнаружить его.

Каждый раз, когда администраторы вносят какие-либо существенные изменения в систему или сеть, приводящие к изменению нормального поведения, они должны заново создать базовую линию. В противном случае идентификаторы будут постоянно предупреждать о том, что теперь является нормальным поведением.

Система Обнаружения Физических Вторжений

Обнаружение физических вторжений является актом выявления угроз для физических систем. Физическое обнаружение вторжений чаще всего рассматривается как физический контроль, установленный для обеспечения ЦРУ. Во многих случаях физические системы обнаружения вторжений также выступают в качестве систем предотвращения. Примеры физического обнаружения вторжений:

  • охранник
  • камера слежения
  • Системы Контроля Доступа (Карточные, Биометрические)
  • Брандмауэры
  • Человек Ловушки
  • датчик движения
Беспроводное Обнаружение
Идентификаторы беспроводной локальной сети (WLAN) похожи на NIDS в том, что он может анализировать сетевой трафик. Тем не менее, он также будет анализировать беспроводной трафик, в том числе сканирование для внешних пользователей, пытающихся подключиться к точкам доступа (AP), изгоев APs, пользователей за пределами физической области компании и WLAN IDSs, встроенных в APs.

Поскольку сети все чаще поддерживают беспроводные технологии в различных точках топологии, идентификаторы WLAN будут играть большую роль в безопасности. Многие предыдущие инструменты NIDS будут включать усовершенствования для поддержки анализа беспроводного трафика. Некоторые формы ВПЛ являются более зрелыми, чем другие, потому что они используются гораздо дольше. Сетевые ВПЛ и некоторые формы ВПЛ, базирующиеся в принимающих странах, имеются в продаже уже более десяти лет.

Программное обеспечение Network behavior analysis-это несколько более новая форма ВПЛ , которая частично развилась из продуктов, созданных в основном для обнаружения DDoS-атак, а частично из продуктов, разработанных для мониторинга потоков трафика во внутренних сетях.

Беспроводные технологии-относительно новый тип ВПЛ, разработанный в ответ на популярность беспроводных локальных сетей (WLAN) и растущие угрозы против WLAN и клиентов WLAN.

Ложные Срабатывания Против Ложных Негативов
IDSs восприимчивы как к ложным срабатываниям, так и к ложным негативам. Ложное срабатывание-это предупреждение или тревога о событии, которое не является угрожающим, мягким или безвредным.

Ложным отрицательным является, когда злоумышленник активно атакует сеть, но система не обнаруживает его. Ни то, ни другое не желательно, но невозможно устранить оба. Большинство IDSs инициируют оповещение или тревогу, когда событие превышает пороговое значение. Рассмотрим классическую атаку SYN flood, где злоумышленник удерживает третью часть рукопожатия TCP. Хост отправит пакет SYN, а сервер ответит пакетом SYN/ACK.

Большинство IDSs инициируют оповещение или тревогу, когда событие превышает пороговое значение. Рассмотрим классическую атаку SYN flood, где злоумышленник удерживает третью часть рукопожатия TCP. Хост отправит пакет SYN, а сервер ответит пакетом SYN/ACK.

Однако вместо завершения рукопожатия с пакетом ACK атакующий хост никогда не отправляет ACK, но продолжает отправлять больше пакетов SYN. Это оставляет сервер с открытыми соединениями, которые в конечном итоге могут нарушить работу служб.

Если система получает один пакет SYN без сопутствующего пакета ACK, является ли это атакой?
Скорее всего, нет. Это может произойти во время нормальной работы.

Если система получает более 1000 пакетов SYN с одного IP-адреса менее чем за 60 секунд, без сопутствующего пакета ACK, это атака? Абсолютно.

Имея это в виду, администраторы устанавливают пороговое значение от 1 до 1000 для обозначения атаки. Если администраторы устанавливают его слишком низко, у них будет слишком много ложных срабатываний и большая нагрузка, поскольку они проводят свое время, преследуя призраков. Если они установят слишком высокий порог, фактические атаки получат

Если они устанавливают слишком высокий порог, фактические атаки будут проходить без ведома администраторов.Большинство администраторов хотят знать, подвергается ли их система атаке. Это основная цель идентификаторов.

Однако идентификаторы, которые постоянно кричат " Волк!- будут проигнорированы, когда нападет настоящий волк.

Важно установить порог достаточно низкий, чтобы уменьшить количество ложных срабатываний, но достаточно высокий, чтобы предупредить о любых реальных атаках.Идеального числа для порога не существует. Администраторы настраивают пороговые значения в разных

Учет
Отчет IDSs о событиях, представляющих интерес, на основе их настроек. Все события не являются атаками или реальными
проблемы, но вместо этого они предоставляют отчет, указывающий, что событие может быть предупреждением или тревогой. Администраторы проверяют, является ли он допустимым.

Некоторые системы рассматривают тревогу и оповещение как одно и то же. Другие системы используют предупреждение о потенциально серьезной проблеме, а сигнал тревоги-как относительно незначительную проблему. Цель этих последних систем состоит в том, чтобы поощрять администраторов отдавать более высокий приоритет сигналам тревоги, чем предупреждениям.

Фактический механизм отчетности варьируется от системы к системе и в разных организациях. Например, один идентификатор может записать событие в журнал как сигнал тревоги или предупреждение, а затем отправить электронное письмо учетной записи администратора.

В большом сетевом центре операций (NOC) идентификаторы могут отправлять предупреждение
монитор легко просматривается всем персоналом в NOC.

Ответы Системы Обнаружения Вторжений
Идентификаторы будут реагировать после обнаружения атаки, и ответ может быть пассивным или активным.Пассивный ответ в основном состоит из регистрации и уведомления персонала, тогда как активный ответ также изменяет среду для блокировки атаки:

Пассивные идентификаторы .
Пассивные идентификаторы регистрирует атаку, а также может поднять предупреждение, чтобы уведомить кого-то.
Большинство IDSs по умолчанию пассивны. Уведомление может приходить во многих формах, включая
электронная почта, текстовое сообщение, всплывающее окно или уведомление на центральном мониторе.

Активные идентификаторы.
Активный ID регистрирует и уведомляет персонал так же, как пассивный ID, но он также может изменить среду, чтобы сорвать или заблокировать атаку. Например, он может изменять списки управления доступом (ACL) на брандмауэрах, чтобы блокировать нарушающий трафик, закрывать процессы в системе, вызванные атакой, или перенаправлять атаку в безопасную среду, такую как honeypot или honeynet.

Размещение датчика для идентификаторов сети
При развертывании сетевых идентификаторов следует заранее решить, где разместить датчики мониторинга. Это будет значительно зависеть от того, какое вторжение или попытку вторжения вы пытаетесь обнаружить. Начните с создания подробной схемы сети, если у вас ее еще нет.

Сеть начните с создания подробной схемы сети, если у вас ее еще нет. Схема сети может иметь неоценимое значение для планирования идентификаторов. При просмотре диаграммы оцените ключевые точки дросселя сети или наборы систем, чувствительных к бизнес-операциям. Хорошо подготовленная диаграмма может обеспечить внутреннеприсущие ключи к правому положению для датчиков IDS.

Если IDS будет контролировать веб-сервер для проникновения, то наиболее полезной позицией для датчика будет сегмент DMZ с веб-сервером. Это предполагает, конечно, что ваш веб-сервер находится в сегменте DMZ, а не снаружи или внутри брандмауэра (ни одна из которых не является особенно хорошей идеей).

Если злоумышленники компрометируют сервер, идентификаторы имеют наилучшие шансы обнаружить либо исходное проникновение, либо результирующую активность, исходящую от скомпрометированного хоста.

Если идентификаторы будут отслеживать наличие вторжений на внутренние серверы, такие как DNS-серверы или почтовые серверы, лучшим местом для датчика будет только внутри брандмауэра в сегменте, который соединяет брандмауэр с внутренней сетью.

Логика этого заключается в том, что логика этого заключается в том, что брандмауэр предотвратит подавляющее большинство атак, направленных на организацию, и что регулярный мониторинг журналов брандмауэра идентифицирует их. Идентификаторы на внутреннем сегменте будут обнаруживать некоторые из тех атак, которым удается пройти через брандмауэр. Это называется "глубокая защита".

Интеграция хоста для системы обнаружения вторжений Хоста

Если вы планируете использовать хост-систему, вы должны иметь адекватный этап тестирования и ознакомления. Это позволяет операторам и аналитикам ознакомиться с работой этого конкретного программного обеспечения.

Идентификаторы должны быть установлены в системе разработки задолго до запланированной установки в производственной системе. Даже в спокойной системе некоторые файлы будут регулярно меняться (например, файлы аудита), поэтому идентификаторы будут сообщать о некоторых изменениях.

Некоторые хост-системы, в качестве дополнительного примера, сообщают, когда пользовательский процесс изменяет файл системного пароля. Это произойдет, если злоумышленник добавит учетную запись.

Это также происходит, однако, когда пользователь меняет свой пароль. Аналитику IDS необходимо время, чтобы ознакомиться с правильной работой каждой системы, чтобы правильно диагностировать отклонения от “нормальных” сигналов тревоги.

Имейте в виду, при использовании хост-системы, что она должна часто контролироваться. Это означает, по крайней мере, два раза в день. Если злоумышленник имеет доступ суперпользователя к системе, он может изменить идентификаторы или базу данных идентификаторов для подавления аварийных сигналов.

Если идентификаторы записываются, если идентификаторы записываются в файл, злоумышленник может просто отредактировать выходной файл. Другими словами, всегда быть подозрительным, что что-то может изменить конфигурацию идентификаторов.

Конфигурация Сигнала Тревоги
IDSs приходят с конфигурируемыми уровнями сигнала тревоги. Некоторые из них будут интегрированы со станциями управления сетью, некоторые разрешают пейджинг, некоторые отправляют электронную почту, а некоторые могут взаимодействовать с брандмауэрами, чтобы закрыть весь трафик из сети, которая вызвала атаку.

Будьте очень осторожны при использовании этих функций. На самом деле, в течение первого месяца или двух, выключите все тревоги.

Только посмотрите на выход из системы, чтобы увидеть, что он обнаруживает. Все IDSs имеют, как обсуждалось выше, некоторый уровень ложных срабатываний; этот уровень может достигать 80 или 90 процентов зарегистрированных тревог. Вы должны быть знакомы с вашей конкретной системы, прежде чем начать включение сигнализации.

Неправильное конфигурирование сигнала тревоги или чрезмерно агрессивный ответ на сигналы тревоги могут привести к организационному решению отключить идентификаторы. Ричард Марцинко, бывший морской котик ВМС США, рассказывает о перебрасывании кроликов через заборы в районы, защищенные датчиками движения.

Когда охранники устали реагировать на сигналы тревоги (только чтобы найти кроликов, жующих на лужайке), команда Марцинко могла свободно пройти через эту область, зная, что сигналы тревоги будут проигнорированы.

Хакеры знают, что установки ID контролируются людьми и что люди имеют человеческие недостатки. Они знают что если они вызывают сигнал тревоги после сигнала тревоги после сигнала тревоги, то люди контролируя систему остановят обратить внимание.

Аналогично, если ID настроен так, чтобы брандмауэр запрещал весь трафик от “атакующих” сетей, хакеры могут легко использовать это.

Кто-то, достаточно мотивированный или злонамеренный, может использовать это против организации, подделывая атаки от бизнес-партнеров организации или известных сайтов (Yahoo, AltaVista, Amazon, CNN, Microsoft и т. д.), Чтобы брандмауэр запрещал входящий трафик с этих сайтов, включая электронную почту и трафик веб-сайта.

Помните, что идентификаторы не являются ценными бумагами, спасающими благодать, это всего лишь инструмент (и довольно неразумный).

График Интеграции
Устанавливайте по одному датчику за раз. Не торопите установку для того чтобы свернуть вне возможность ИД в короткий промежуток времени. Это занимает определенное количество времени для администраторов

Администраторам и аналитикам требуется определенное количество времени, чтобы ознакомиться с особенностями данной системы или точки сети, и эти особенности могут не совпадать от точки к точке.

Датчик в DMZ может видеть данный набор поведений, в то время как датчик во внутренней сети может видеть другой набор поведений с очень небольшим пересечением.

Крайне важно, чтобы персонал, назначенный для контроля идентификаторов, был адекватно знаком с каждым устройством в конфигурации.

Подготовка системы с системой обнаружения вторжений

Решение о размещении системы обнаружения вторжений в сети имеет решающее значение. Машина IDS должна подключиться к порту, который может видеть весь трафик между локальной сетью и интернетом.

Это означает либо подключение к зеркальному порту коммутатора, либо к концентратору, расположенному между подключением к Интернету и локальной сетью. Если используется брандмауэр и только один датчик IDS, он должен располагаться между брандмауэром и локальной сетью по причинам, которые будут рассмотрены ниже.

Выбор типа машины зависит от окружающей среды и требуемых данных. Установка идентификаторов Snort может включать один или несколько независимых компьютеров или несколько компьютеров, которые сообщают на центральный сервер баз данных . Более быстро будучи контролируемым соединение и уровень регистрировать диктуют возможности машины.

Для краткости эта статья посвящена установке одного автономного идентификатора на границе сети. Для установки Linux достаточно настольного компьютера, которому несколько лет. Рисунок на минимум 256 МБ оперативной памяти, Жесткий диск 20 ГБ, процессор 600 МГц и CD-привод, все особенности настольных компьютеров, сделанных в течение последних нескольких лет.

Для установки базовой операционной системы Linux необходим компьютер для создания установочного компакт-диска. Окно Windows под управлением
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
(бесплатная ISO горелка) будет работать нормально. Кроме того, параметры сети (IP-адрес и т. д.) и сетевое подключение для машины IDS должны быть определены до установки Linux.

Необходимые приложения
Snort по существу работает над сопоставлением шаблонов, сравнивая пакеты с сигнатурами известных атак. Существуют буквально тысячи таких подписей.

Подумайте о Snort как интеллектуальный сниффер: он принимает непрерывную трассировку входящего и исходящего интернет-трафика и анализирует трассировку путем сравнения с базой данных сигнатур в режиме реального времени. Сделать это вручную было бы невозможно.

Если пакет соответствует шаблону в выбранной подписи, генерируется предупреждение. Анализ предупреждений для значимых данных-непростая задача, учитывая объем данных и их необработанный формат представления.

Поэтому для сбора и группового анализа данных необходим метод.
Этот пример использует MySQL в качестве приложения базы данных, но Microsoft SQL Server или Oracle может использоваться и для базы данных оповещений. При заполнении хорошо отформатированной базы данных информацией Snort необходимо для категоризации информации, как и при анализе sniffer, процесс анализа такой базы данных является трудоемким.

Это где база вступает в игру. Это веб-интерфейс базы данных, который представляет данные предупреждения Snort. Это предоставляет сведения, необходимые администратору сети или безопасности для выявления угроз и принятия мер управления для их уменьшения.

Другие необходимые приложения поддержки включают веб-сервер, компилятор
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
и язык сценариев HTML.

Администрирование системы обнаружения вторжений

После успешной установки наведение веб-браузера на идентификаторы приведет к появлению окна сводного оповещения.

Отсюда данные обнаружения вторжений могут быть эффективно проанализированы. База предлагает множество инструментов агрегации и представления данных.Каждое предупреждение может быть проанализировано индивидуально или в группе.

Большинство сгенерированных предупреждений представляли собой ложные срабатывания, потому что предупреждения были на регулярном трафике, который, возможно, имел ненормальные, но совершенно безвредные характеристики.

Датчик IDS всегда должен располагаться между брандмауэром и локальной сетью. Предположим, что предупреждение на рис. 3 свидетельствует о действительной атаке. Затем брандмауэр можно настроить на запрет всего трафика с этого адреса источника. Никакие новые предупреждения не должны регистрироваться после настройки брандмауэра, тем самым эффективно устраняя угрозу.

Продвигаясь вперед
Построение функциональных идентификаторов датчика-это только первый шаг. После установки ids администратор должен потратить значительное количество времени на изучение предупреждений и возможностей системы.

Никто не начинает крупный строительный проект после создания и эксплуатации настольной пилы в первый раз, и так обстоит дело с Snort/BASE.

По мере возникновения угроз в систему должны добавляться правила, соответствующие сигнатурам этих угроз.

Snort предлагает услугу подписки для доступа к новым правилам за минимальную плату или бесплатный доступ к тем же правилам для зарегистрированных пользователей в течение 30 дней после их выпуска в службу подписки.
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
-отличный инструмент для регулярного обновления правил.

Кроме того, подписи могут быть созданы вручную или параметры передачи могут быть добавлены к подписям, которые определены, чтобы произвести изобилие ложных срабатываний.

Определение того, являются ли оповещения на самом деле нормальным сетевым трафиком или реальной угрозой, очевидно, необходимо, поскольку было бы глупо отключать подпись Просто потому, что она создает много предупреждений.

Другие инструменты с открытым исходным кодом , такие как
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
,
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
и
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
, в сочетании с анализом журнала сервера и сетевого оборудования, могут предоставить данные, необходимые для оптимизации конфигурации идентификаторов.

Snort можно развернуть в централизованно управляемой распределенной среде, в которой несколько датчиков отчитываются на одном сервере базы данных. В больших корпоративных сетях это может быть полезно для корреляции событий, а также для простого анализа информации из нескольких точек сети.

Нередко датчики Snort развертываются на границах между зонами безопасности в локальной сети, например между серверами администрирования и локальными пользователями.

Сетевые идентификаторы на основе сигнатур-это просто инструмент для применения политики безопасности вашей компании. Ожидая, что установка идентификаторов (или любого отдельного решения безопасности, если на то пошло) устранит все угрозы, флиртует с ложным чувством безопасности. Однако погружение в мир идентификаторов с открытым исходным кодом-это путь, который может привести к немедленной и значительной отдаче.

Краткие сведения
IDS является неотъемлемой частью хорошей архитектуры сетевой безопасности. Решения IDS имеют свои сильные и слабые стороны, которые необходимо измерить и оценить перед развертыванием в сети. При просмотре и реализации как часть резервного механизма безопасности сети, идентификаторы, как правило, стоит инвестиций.
 
Последнее редактирование:

Пользователи, которые просматривали тему (Всего: 0)

Тема долгое время не просматривалась.