Mẹo về Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata Mới Nhất

You đang tìm kiếm từ khóa Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata được Update vào lúc : 2022-05-11 09:44:12 . Với phương châm chia sẻ Bí kíp về trong nội dung bài viết một cách Chi Tiết 2022. Nếu sau khi tìm hiểu thêm nội dung bài viết vẫn ko hiểu thì hoàn toàn có thể lại Comments ở cuối bài để Mình lý giải và hướng dẫn lại nha.

246

Công cụ giám sát mạng của bạn cho hoạt động và sinh hoạt giải trí đáng ngờ hoặc ô nhiễm

Nội dung chính

  • Snort cho Windows
  • OSS Prelude
  • Trình bảo vệ ứng dụng ô nhiễm
  • NIDS / Hệ thống phát hiện xâm nhập mạng là gì?
  • Mục đích của NIDS
  • Sự khác lạ giữa NIDS và SIEM
  • NIDS hoặc HIDS
  • Phương pháp phát hiện NIDS
  • Phát hiện xâm nhập và phòng chống xâm nhập
  • NIDS được đề xuất kiến nghị
  • 1. Quản lý sự kiện bảo mật thông tin SolarWinds (THỬ MIỄN PHÍ)
  • 2. Khịt mũi
  • 4. Suricata
  • 5. QRadar của IBM
  • 6. Hành tây bảo mật thông tin an ninh
  • 7. Mở WIPS-NG
  • Triển khai NIDS

Hệ thống phát hiện xâm phạm (IDS) được tăng trưởng để phục vụ với tần suất tiến công ngày càng tăng trên mạng. Thông thường, ứng dụng IDS kiểm tra những tệp thông số kỹ thuật sever cho những setup nguy hiểm, tệp mật khẩu cho mật khẩu nghi ngờ và những khu vực khác để phát hiện vi phạm hoàn toàn có thể gây nguy hiểm cho mạng. Nó cũng nêu lên những phương pháp để mạng ghi lại những hoạt động và sinh hoạt giải trí sinh hoạt đáng ngờ và những phương thức tiến công tiềm năng và báo cáo chúng cho một quản trị viên. IDS tương tự như tường lửa, nhưng ngoài việc bảo vệ chống lại những cuộc tiến công từ bên phía ngoài mạng, IDS xác lập hoạt động và sinh hoạt giải trí đáng ngờ và những cuộc tiến công từ bên trong khối mạng lưới hệ thống.

Một số ứng dụng IDS cũng hoàn toàn có thể phục vụ với việc xâm nhập mà nó phát hiện. Phần mềm hoàn toàn có thể phản hồi thường được gọi là ứng dụng Ngăn chặn xâm nhập (IPS). Nó nhận ra và phản ứng với những mối rình rập đe dọa đã biết, theo một lượng lớn những tiêu chuẩn.

Nói chung, một IDS cho bạn thấy những gì đang xẩy ra, trong lúc một IPS hoạt động và sinh hoạt giải trí trên những mối rình rập đe dọa đã biết. Một số thành phầm phối hợp cả hai tính năng. Dưới đấy là một số trong những tùy chọn ứng dụng IDS và IPS miễn phí.

Snort cho Windows

Snort cho Windows là một khối mạng lưới hệ thống phát hiện xâm nhập mạng nguồn mở, hoàn toàn có thể thực thi phân tích lưu lượng thời hạn thực và ghi nhật ký gói trên mạng IP. Nó hoàn toàn có thể thực thi phân tích giao thức, tìm kiếm / so khớp nội dung và hoàn toàn có thể được sử dụng để phát hiện nhiều loại tiến công và thăm dò, ví như tràn bộ đệm, quét cổng ẩn, tiến công CGI, đầu dò SMB, nỗ lực vân tay OS và nhiều hơn nữa thế nữa.

Suricata

Suricata là ứng dụng mã nguồn mở được gọi là “Snort on steroid”. Nó phục vụ phát hiện xâm nhập thời hạn thực, phòng chống xâm nhập và giám sát mạng. Suricata sử dụng một quy tắc và ngôn từ chữ ký và ngữ cảnh Lua để phát hiện những mối rình rập đe dọa phức tạp. Nó có sẵn cho Linux, macOS, Windows và những nền tảng khác. Phần mềm này miễn phí và có một số trong những sự kiện đào tạo và giảng dạy công khai minh bạch nhờ vào phí được lên lịch mỗi năm để đào tạo và giảng dạy cho nhà tăng trưởng. Các sự kiện đào tạo và giảng dạy chuyên được sử dụng cũng luôn có thể có sẵn từ Quỹ An ninh thông tin mở (OISF), công ty sở hữu mã Suricata.

Bro IDS

Bro IDS thường được triển khai cùng với Snort. Ngôn ngữ rõ ràng theo miền của Bro không nhờ vào chữ ký truyền thống cuội nguồn. Nó ghi lại mọi thứ mà nó nhìn thấy trong kho tàng trữ hoạt động và sinh hoạt giải trí mạng cấp cao. Phần mềm này đặc biệt quan trọng hữu ích cho việc phân tích lưu lượng và có lịch sử sử dụng trong môi trường tự nhiên vạn vật thiên nhiên khoa học, những trường ĐH lớn, những TT siêu máy tính và những phòng thí nghiệm nghiên cứu và phân tích để bảo vệ khối mạng lưới hệ thống của tớ. Dự án Bro là một phần của Bảo vệ Tự do Phần mềm.

OSS Prelude

OSS Prelude là phiên bản mã nguồn mở của Prelude Siem, một khối mạng lưới hệ thống phát hiện xâm nhập lai sáng tạo nên thiết kế để mô đun, phân phối, đá rắn và nhanh. OSS Prelude phù phù thích hợp với hạ tầng CNTT có quy mô số lượng giới hạn, tổ chức triển khai nghiên cứu và phân tích và đào tạo và giảng dạy. Nó không dành riêng cho những mạng có kích thước lớn hoặc quan trọng. Hiệu suất OSS sơ bộ bị số lượng giới hạn nhưng đóng vai trò trình làng về phiên bản thương mại.

Trình bảo vệ ứng dụng ô nhiễm

Malware Defender là một chương trình IPS tương thích với Windows miễn phí với kĩ năng bảo vệ mạng cho những người dân tiêu dùng cao cấp. Nó xử lý phòng chống xâm nhập và phát hiện ứng dụng ô nhiễm. Nó rất thích hợp để sử dụng tận nhà, tuy nhiên tài liệu giảng dạy của nó là phức tạp cho những người dân tiêu dùng trung bình để hiểu. Trước đấy là một chương trình thương mại, Malware Defender là một khối mạng lưới hệ thống ngăn ngừa xâm nhập sever (HIPS) giám sát một sever duy nhất cho hoạt động và sinh hoạt giải trí đáng ngờ.

NIDS / Hệ thống phát hiện xâm nhập mạng là gì?

NIDS là từ viết tắt của khối mạng lưới hệ thống phát hiện xâm nhập mạng. NIDS phát hiện hành vi bất chính trên mạng như hack, quét cổng và từ chối dịch vụ.

Dưới đấy là list của chúng tôi về 9 công cụ NIDS tốt nhất (Hệ thống phát hiện xâm nhập mạng):

  • Quản lý sự kiện bảo mật thông tin SolarWinds (THỬ MIỄN PHÍ)
  • Khịt mũi
  • Anh bạn
  • Suricata
  • IBM QRadar
  • Hành tây bảo mật thông tin an ninh
  • Mở WIPS-NG
  • Sagan
  • Splunk
  • Mục đích của NIDS

    Các khối mạng lưới hệ thống phát hiện xâm nhập tìm kiếm bộ sưu tập trong hoạt động và sinh hoạt giải trí mạng để xác lập hoạt động và sinh hoạt giải trí ô nhiễm. Sự thiết yếu của thể loại khối mạng lưới hệ thống bảo mật thông tin này phát sinh do những thay đổi trong phương thức của hacker nhằm mục đích phản ứng với những kế hoạch thành công xuất sắc trước đó để ngăn ngừa những hoạt động và sinh hoạt giải trí sinh hoạt ô nhiễm.

    Tường lửa đã trở nên rất hiệu suất cao trong việc ngăn ngừa những nỗ lực link trong nước. Phần mềm diệt virus đã được xác lập thành công xuất sắc lây nhiễm qua thẻ nhớ USB, đĩa tài liệu và tệp đính kèm email. Với những phương thức ô nhiễm truyền thống cuội nguồn bị chặn, tin tặc chuyển sang những kế hoạch tiến công như tiến công từ chối dịch vụ phân tán (DDoS). Các dịch vụ cạnh hiện làm cho những vectơ tiến công đó ít bị rình rập đe dọa hơn.

    Hôm nay, Mối rình rập đe dọa liên tục nâng cao (APT) là thử thách lớn số 1 riêng với những nhà quản trị và vận hành mạng. Những kế hoạch tiến công này thậm chí còn hiện được những chính phủ nước nhà vương quốc sử dụng như một phần của trận chiến tranh lai. Trong ngữ cảnh APT, một nhóm tin tặc có quyền truy vấn vào mạng công ty và sử dụng tài nguyên của công ty cho mục tiêu riêng của tớ cũng như truy vấn vào tài liệu của công ty để bán.

    Việc tích lũy tài liệu thành viên được tổ chức triển khai trên cơ sở tài liệu của công ty đang trở thành một hoạt động và sinh hoạt giải trí marketing thương mại có lãi, nhờ những cty tài liệu. tin tức này cũng hoàn toàn có thể được sử dụng cho mục tiêu xấu và cũng hoàn toàn có thể phản hồi lại những kế hoạch truy vấn thông qua doxing. tin tức có sẵn trên cơ sở tài liệu của người tiêu dùng, nhà phục vụ và nhân viên cấp dưới của công ty là những tài nguyên hữu ích cho những chiến dịch săn bắt cá voi và đánh bắt cá cá. Những phương pháp này đã được những nghệ sĩ lừa hòn đảo sử dụng một cách hiệu suất cao để lừa nhân viên cấp dưới công ty chuyển tiền hoặc tiết lộ bí mật thành viên. Những phương pháp này hoàn toàn có thể là dùng để tống tiền công nhân công ty hành vi chống lại quyền lợi của gia chủ của tớ.

    Nhân viên không hài lòng cũng luôn có thể có yếu tố cho bảo mật thông tin tài liệu của công ty. Một nhân viên cấp dưới đơn độc có quyền truy vấn mạng và cơ sở tài liệu hoàn toàn có thể tàn phá bằng phương pháp sử dụng những thông tin tài khoản được ủy quyền để gây thiệt hại hoặc đánh cắp tài liệu.

    Vì thế, bảo mật thông tin an ninh mạng hiện phải gồm có những phương thức vượt xa việc chặn truy vấn trái phép và ngăn ngừa việc setup ứng dụng ô nhiễm. Các khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào mạng phục vụ sự bảo vệ rất hiệu suất cao chống lại mọi hoạt động và sinh hoạt giải trí xâm nhập ẩn, hoạt động và sinh hoạt giải trí của nhân viên cấp dưới ô nhiễm và hàng fake nghệ sĩ.

    Sự khác lạ giữa NIDS và SIEM

    Khi tìm kiếm những khối mạng lưới hệ thống bảo mật thông tin mới cho mạng của bạn, bạn sẽ gặp thuật ngữ SIEM. You hoàn toàn có thể tự hỏi liệu điều này còn có nghĩa in như NIDS.

    Có thật nhiều sự trùng lặp Một trong những định nghĩa về SIEM và NIDS. SIEM là viết tắt của Quản lý sự kiện và thông tin bảo mật thông tin. Lĩnh vực SIEM là yếu tố phối hợp của hai loại ứng dụng bảo vệ đã có từ trước. Có Quản lý thông tin bảo mật thông tin (SIM)Quản lý sự kiện bảo mật thông tin (SEM).

    Lĩnh vực của SEM rất giống với nghành của NIDS. Quản lý sự kiện bảo mật thông tin là một thể loại SIEM triệu tập vào kiểm tra lưu lượng truy vấn mạng trực tiếp. Điều này in như việc trình độ hóa những khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào mạng.

    NIDS hoặc HIDS

    Các khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào mạng là một phần của khuôn khổ rộng hơn, đó là những khối mạng lưới hệ thống phát hiện xâm nhập. Loại IDS khác là khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào sever hoặc HIDS. Các khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào sever gần tương tự với yếu tố Quản lý thông tin bảo mật thông tin của SIEM.

    Trong khi khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào mạng nhìn vào tài liệu trực tiếp, khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào sever kiểm tra những tệp nhật ký trên khối mạng lưới hệ thống. Lợi ích của NIDS là những khối mạng lưới hệ thống này là ngay lập tức. Bằng quan điểm vào lưu lượng mạng khi nó xẩy ra, họ hoàn toàn có thể hành vi nhanh gọn. Tuy nhiên, nhiều hoạt động và sinh hoạt giải trí của những kẻ xâm nhập chỉ hoàn toàn có thể được phát hiện qua một loạt những hành vi. Thậm chí hoàn toàn có thể tin tặc hoàn toàn có thể phân loại những lệnh ô nhiễm Một trong những gói tài liệu. Vì NIDS hoạt động và sinh hoạt giải trí ở cấp gói, nên ít hoàn toàn có thể phát hiện những kế hoạch xâm nhập phủ rộng rộng tự do ra trên những gói.

    HIDS kiểm tra tài liệu sự kiện khi nó được tàng trữ trong nhật ký. Viết hồ sơ vào những tệp nhật ký tạo ra sự chậm trễ trong những phản ứng. Tuy nhiên, kế hoạch này được cho phép những công cụ phân tích phát hiện những hành vi trình làng tại một số trong những điểm trên mạng cùng một lúc. Ví dụ: nếu cùng một thông tin tài khoản người tiêu dùng được sử dụng để đăng nhập vào mạng từ những vùng địa lý phân tán và nhân viên cấp dưới được phân loại thông tin tài khoản này được đặt tại bất kỳ nơi nào trong số đó, thì rõ ràng thông tin tài khoản đã biết thành xâm phạm.

    Kẻ xâm nhập biết rằng những tệp nhật ký hoàn toàn có thể trình diện những hoạt động và sinh hoạt giải trí sinh hoạt của chúng và vì vậy vô hiệu những bản ghi nhật ký là một kế hoạch phòng thủ được sử dụng bởi tin tặc. Do đó, việc bảo vệ những tệp nhật ký là một yếu tố quan trọng của khối mạng lưới hệ thống HIDS.

    Cả NIDS và HIDS đều phải có quyền lợi. NIDS tạo ra kết quả nhanh gọn. Tuy nhiên, những khối mạng lưới hệ thống này cần học hỏi từ một mạng Lưu lượng truy vấn thông thường để ngăn chúng báo cáodương tính giả.Đặc biệt trong những tuần đầu hoạt động và sinh hoạt giải trí trên mạng, những công cụ NIDS có Xu thế phát hiện quá mức cần thiết sự xâm nhập và tạo ra một loạt những chú ý chứng tỏ là làm nổi trội hoạt động và sinh hoạt giải trí thường xuyên. Một mặt, bạn không thích lọc ra những chú ý và có rủi ro không mong muốn tiềm ẩn tiềm ẩn mất hoạt động và sinh hoạt giải trí xâm nhập. Tuy nhiên, mặt khác, một NIDS quá nhạy cảm hoàn toàn có thể thử sự kiên trì của một nhóm quản trị mạng.

    HIDS cho phản hồi chậm hơn nhưng hoàn toàn có thể cho một bức tranh đúng chuẩn hơn về hoạt động và sinh hoạt giải trí đột nhập chính bới nó hoàn toàn có thể phân tích những bản ghi sự kiện từ một loạt những nguồn đăng nhập. You cần thực thi phương pháp SIEM và triển khai cả NIDS và HIDS để bảo vệ mạng của bạn.

    Phương pháp phát hiện NIDS

    NIDS sử dụng hai phương pháp phát hiện cơ bản:

    • Phát hiện nhờ vào sự không bình thường
    • Phát hiện nhờ vào chữ ký

    Các kế hoạch nhờ vào chữ ký phát sinh từ những phương pháp phát hiện được sử dụng bởi ứng dụng chống vi-rút. Chương trình quét tìm bộ sưu tập trong lưu lượng mạng gồm có chuỗi byteloại gói thông thường thường xuyên được sử dụng cho những cuộc tiến công.

    Một cách tiếp cận nhờ vào sự không bình thường so sánh lưu lượng mạng hiện tại với hoạt động và sinh hoạt giải trí tiêu biểu vượt trội. Vì vậy, kế hoạch này yên cầu một quy trình học tập thiết lập một quy mô hoạt động và sinh hoạt giải trí thông thường. Một ví dụ về loại phát hiện này sẽ là số lần thử đăng nhập thất bại. Một người tiêu dùng hoàn toàn có thể bị nhầm mật khẩu một vài lần, nhưng một nỗ lực xâm nhập được lập trình bằng vũ lực sẽ sử dụng nhiều phối hợp mật khẩu theo chu kỳ luân hồi nhanh gọn. Đó là một ví dụ rất đơn thuần và giản dị. Trong nghành này, bộ sưu tập hoạt động và sinh hoạt giải trí mà cách tiếp cận nhờ vào sự không bình thường tìm kiếm hoàn toàn có thể là những phối hợp hoạt động và sinh hoạt giải trí rất phức tạp.

    Phát hiện xâm nhập và phòng chống xâm nhập

    Phát hiện xâm nhập là bước một trong việc giữ bảo vệ an toàn và uy tín cho mạng của bạn. Bước tiếp theo là làm một chiếc gì đó để chặn kẻ xâm nhập. Trên một mạng nhỏ, bạn hoàn toàn có thể thực thi can thiệp thủ công, update bảng tường lửa để chặn địa chỉ IP của kẻ xâm nhập và đình chỉ thông tin tài khoản người tiêu dùng bị xâm nhập. Tuy nhiên, trên một mạng lớn và trên những khối mạng lưới hệ thống cần hoạt động và sinh hoạt giải trí suốt ngày đêm, bạn thực sự nên phải khắc phục những mối rình rập đe dọa với quy trình thao tác tự động hóa. Can thiệp tự động hóa để xử lý và xử lý hoạt động và sinh hoạt giải trí của kẻ xâm nhập là yếu tố khác lạ xác lập Một trong những khối mạng lưới hệ thống phát hiện kẻ xâm nhập và khối mạng lưới hệ thống phòng chống xâm nhập (IPS).

    Tinh chỉnh những quy tắc phát hiện và những chủ trương khắc phục là rất quan trọng trong những kế hoạch IPS vì quy tắc phát hiện quá nhạy cảm hoàn toàn có thể chặn người tiêu dùng chính hãng và tắt khối mạng lưới hệ thống của bạn.

    NIDS được đề xuất kiến nghị

    Hướng dẫn này triệu tập vào NIDS thay vì những công cụ HIDS hoặc ứng dụng IPS. Đáng ngạc nhiên, nhiều NIDS số 1 được sử dụng miễn phí và những công cụ số 1 khác phục vụ thời hạn dùng thử miễn phí.

    1. Quản lý sự kiện bảo mật thông tin SolarWinds (THỬ MIỄN PHÍ)

    Các Quản lý sự kiện bảo mật thông tin SolarWinds hầu hết là gói HIDS, nhưng bạn cũng hoàn toàn có thể sử dụng những hiệu suất cao NIDS với công cụ này. Công cụ này hoàn toàn có thể được sử dụng như một tiện ích phân tích để xử lý tài liệu được tích lũy bởi Snort. You hoàn toàn có thể đọc thêm về Snort dưới đây. Snort hoàn toàn có thể tích lũy tài liệu lưu lượng truy vấn mà bạn hoàn toàn có thể xem thông qua một. Trình quản trị và vận hành sự kiện.

    Sự phối hợp giữa NIDS và HIDS làm cho nó trở thành một công cụ bảo mật thông tin thực sự mạnh mẽ và tự tin. Phần NIDS của Trình quản trị và vận hành sự kiện bảo mật thông tin gồm có cơ sở quy tắc, được gọi là quy tắc tương quan sự kiện, điều này sẽ thấy ra sự không bình thường trong hoạt động và sinh hoạt giải trí chỉ ra sự xâm nhập. Công cụ này hoàn toàn có thể được thiết lập để tự động hóa thực thi những quy trình việc làm khi phát hiện chú ý xâm nhập. Những hành vi này được gọi là Phản hồi tích cực. Các hành vi mà bạn hoàn toàn có thể tự động hóa khởi chạy khi phát hiện sự không bình thường gồm có: dừng hoặc khởi chạy những quy trình và dịch vụ, đình chỉ thông tin tài khoản người tiêu dùng, chặn địa chỉ IP và gửi thông báo qua e-mail, Tin nhắn SNMP, hoặc là ghi hình màn hình hiển thị. Phản hồi tích cực làm cho Trình quản trị và vận hành sự kiện bảo mật thông tin SolarWinds trở thành Hệ thống ngăn ngừa xâm nhập.

    Đây là IDS số 1 hiện có trên thị trường và nó không miễn phí. Phần mềm sẽ chỉ chạy trên sever Windows hệ điều hành quản lý, nhưng nó hoàn toàn có thể tích lũy tài liệu từ Linux, Unix, và hệ điều hành quản lý Mac cũng như những hiên chạy cửa số. You hoàn toàn có thể tải Trình quản trị và vận hành sự kiện bảo mật thông tin SolarWinds trên dùng thử 30 ngày.

    SolarWinds Security Event Manager Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

    2. Khịt mũi

    Snort, thuộc về của Cisco Systems, là một dự án công trình bất Động sản nguồn mở và là sử dụng miễn phí. Đây là NIDS số 1 ngày này và nhiều công cụ phân tích mạng khác đã được viết để sử dụng đầu ra của nó. Phần mềm hoàn toàn có thể được setup trên những hiên chạy cửa số, Linux, và Unix.

    Đây thực sự là một khối mạng lưới hệ thống sniffer gói sẽ tích lũy những bản sao lưu lượng mạng để phân tích. Công cụ này còn có những chính sách khác, tuy nhiên, và một trong số đó là phát hiện xâm nhập. Khi ở chính sách phát hiện xâm nhập, Snort vận dụng trên mạngchủ trương cơ sở,Đây là cơ sở quy tắc phát hiện của công cụ.

    Chính sách cơ sở làm cho Snort linh hoạt, hoàn toàn có thể mở rộng và thích nghi. You cần tinh chỉnh những chủ trương cho phù phù thích hợp với những hoạt động và sinh hoạt giải trí sinh hoạt tiêu biểu vượt trội của mạng của bạn và giảm tỷ suất mắc bệnhdương tính giả.You hoàn toàn có thể viết những chủ trương cơ bản của riêng mình, nhưng bạn không thể vì bạn hoàn toàn có thể tải xuống một gói từ website của Snort. Có một hiệp hội người tiêu dùng rất rộng cho Snort và những người dân tiêu dùng tiếp xúc thông qua một forum. Người dùng Chuyên Viên phục vụ những mẹo và sàng lọc riêng cho những người dân khác miễn phí. You cũng hoàn toàn có thể nhận thêm những chủ trương cơ bản từ hiệp hội miễn phí. Vì có thật nhiều người tiêu dùng Snort, luôn có những ý tưởng mới và chủ trương cơ bản mới mà bạn hoàn toàn có thể tìm thấy trong những forum.

    3. Bro

    Bro là một NIDS, in như Snort, tuy nhiên, nó có một lợi thế lớn so với khối mạng lưới hệ thống Snort – công cụ này hoạt động và sinh hoạt giải trí tại Lớp ứng dụng. Điều này NIDS miễn phí được hiệp hội khoa học và học thuật ưa thích.

    Đây là cả một khối mạng lưới hệ thống nhờ vào chữ ký và nó cũng sử dụng phương pháp phát hiện nhờ vào sự không bình thường. Nó hoàn toàn có thể phát hiện ra quy mô mức bit điều này đã cho toàn bộ chúng ta biết hoạt động và sinh hoạt giải trí ô nhiễm trên những gói.

    Quá trình phát hiện được xử lý trong hai quy trình. Đầu tiên trong số này được quản trị và vận hành bởi Công cụ tổ chức triển khai sự kiện Bro. Vì tài liệu được nhìn nhận ở tại mức cao hơn mức gói, phân tích không thể được thực thi ngay lập tức. Phải có một mức độ đệm để hoàn toàn có thể nhìn nhận đủ những gói với nhau. Vì vậy, Bro chậm hơn một chút ít so với NIDS cấp gói thông thường nhưng vẫn xác lập hoạt động và sinh hoạt giải trí ô nhiễm nhanh hơn HIDS. Dữ liệu tích lũy được nhìn nhận bởi ngữ cảnh chủ trương, đó là quy trình thứ hai của quy trình phát hiện.

    Nó hoàn toàn có thể thiết lập những hành vi khắc phục được kích hoạt tự động hóa bởi một tập lệnh chủ trương. Điều này làm cho Bro trở thành một khối mạng lưới hệ thống ngăn ngừa xâm nhập. Phần mềm hoàn toàn có thể được setup trên Unix, Linux, và hệ điều hành quản lý Mac.

    4. Suricata

    vì vậy một NIDS mà hoạt động và sinh hoạt giải trí tại tầng ứng dụng, phục vụ cho nó kĩ năng hiển thị đa gói. Đây là một công cụ miễn phí hoàn toàn có thể rất giống với Bro. Mặc dù những khối mạng lưới hệ thống phát hiện nhờ vào chữ ký hoạt động và sinh hoạt giải trí ở cấp Ứng dụng, họ vẫn vẫn đang còn quyền truy vấn vào rõ ràng gói, được cho phép chương trình xử lý nhận thông tin cấp giao thức thoát khỏi tiêu đề gói. Điều này gồm có mã hóa tài liệu, Lớp vận chuyểnLớp Internet tài liệu.

    IDS này cũng sử dụng phương pháp phát hiện nhờ vào sự không bình thường. Ngoài tài liệu gói, Suricata hoàn toàn có thể kiểm tra chứng từ TLS, yêu cầu HTTP và thanh toán giao dịch thanh toán DNS. Công cụ này cũng hoàn toàn có thể trích xuất những phân đoạn từ những tệp ở Lever bit để phát hiện vi-rút.

    Suricata là một trong nhiều công cụ tương thích với Cấu trúc tài liệu khịt mũi. Nó hoàn toàn có thể thực thi những chủ trương cơ sở Snort. Một quyền lợi lớn nữa của kĩ năng tương thích này là hiệp hội Snort cũng hoàn toàn có thể phục vụ cho bạn những mẹo về những thủ thuật để sử dụng với Suricata. Các công cụ tương thích Snort khác cũng hoàn toàn có thể tích phù thích hợp với Suricata. Bao gồm những Hắt hơi, Anaval, CĂN CỨ, và Mực.

    5. QRadar của IBM

    Công cụ SIEM của IBM này sẽ không còn miễn phí, nhưng bạn hoàn toàn có thể dùng thử miễn phí 14 ngày. Đây là dịch vụ nhờ vào đám mây, vì vậy nó hoàn toàn có thể được truy vấn từ bất kể đâu. Hệ thống gồm có toàn bộ những khía cạnh phát hiện xâm nhập gồm có những hoạt động và sinh hoạt giải trí sinh hoạt triệu tập vào nhật ký của một TRẺ EM cũng như kiểm tra tài liệu giao thông vận tải lối đi bộ trực tiếp, điều này cũng làm cho NIDS này. Cơ sở hạ tầng mạng mà QRadar hoàn toàn có thể giám sát mở rộng sang những dịch vụ Đám mây. Các chủ trương phát hiện làm nổi trội sự xâm nhập hoàn toàn có thể được tích hợp vào gói.

    Một tính năng rất hay của công cụ này là một tiện ích quy mô tiến công Điều đó giúp bạn kiểm tra khối mạng lưới hệ thống của bạn để tìm lỗ hổng. IBM QRadar sử dụng AI để giảm sút sự phát hiện xâm nhập nhờ vào sự không bình thường và có một bảng điều khiển và tinh chỉnh rất toàn vẹn và tổng thể tích s quy hoạnh hợp tài liệu và trực quan hóa sự kiện. Nếu bạn không thích sử dụng dịch vụ trong Đám mây, bạn hoàn toàn có thể chọn phiên bản tại chỗ chạy trên những hiên chạy cửa số.

    6. Hành tây bảo mật thông tin an ninh

    Nếu bạn muốn IDS chạy trên Linux, những miễn phí Gói NIDS / HIDS của Security Onion là một lựa chọn rất tốt. Đây là một dự án công trình bất Động sản nguồn mở và được hiệp hội tương hỗ. Phần mềm cho công cụ này chạy trên Ubuntu và được rút ra từ những tiện ích phân tích mạng khác. Một số công cụ khác được liệt kê trong hướng dẫn này được tích hợp vào gói Security Onion: Khịt mũi, Anh bạn, và Suricata. Chức năng HIDS được phục vụ bởi OSSEC và kết thúc trước là Kibana khối mạng lưới hệ thống. Các công cụ giám sát mạng nổi tiếng khác được gồm có trong Security Onion gồm có ELSA, NetworkMiner, Hắt hơi, Squert, Mực, và Xplico.

    Tiện ích này gồm có một loạt những công cụ phân tích và sử dụng cả những kỹ thuật nhờ vào chữ ký và dị thường. Mặc dù việc sử dụng lại những công cụ hiện tức là Security Onion được hưởng lợi từ nổi tiếng đã được thiết lập của những thành phần của nó, việc update những thành phần trong gói hoàn toàn có thể phức tạp.

    7. Mở WIPS-NG

    Mở WIPS-NG là một mã nguồn mở dự án công trình bất Động sản giúp bạn giám sát những mạng không dây. Công cụ này hoàn toàn có thể được sử dụng như một cách đơn thuần và giản dị gói sniffer wifi hoặc như một khối mạng lưới hệ thống phát hiện xâm nhập. Tiện ích được tăng trưởng bởi cùng một nhóm đã tạo ra Máy bay-NG – một công cụ xâm nhập mạng rất nổi tiếng được sử dụng bởi tin tặc. Vì vậy, trong lúc bạn đang sử dụng Open WIPS-NG để bảo vệ mạng của tớ, những tin tặc mà bạn phát hiện sẽ tích lũy tín hiệu không dây của bạn bằng gói chị em của nó.

    Đây là một công cụ miễn phí setup trên Linux. Gói ứng dụng gồm có ba thành phần. Đây là một cảm ứng, một sever và một giao diện. Open WIPS-NG phục vụ một số trong những công cụ khắc phục, vì vậy cảm ứng đóng vai trò là giao diện của bạn với bộ thu phát không dây để tích lũy tài liệu và gửi lệnh.

    8. Sagan

    Sagan là một HIDS. Tuy nhiên, với việc tương hỗ update nguồn cấp tài liệu từ Khịt mũi, nó cũng hoàn toàn có thể hoạt động và sinh hoạt giải trí như một NIDS. Ngoài ra, bạn hoàn toàn có thể sử dụng Anh bạn hoặc là Suricata để tích lũy tài liệu trực tiếp cho Sagan. Điều này công cụ miễn phí hoàn toàn có thể được setup trên Unix và những hệ điều hành quản lý giống Unix, nghĩa là nó sẽ chạy trên Linuxhệ điều hành quản lý Mac, nhưng không phải trên Windows. Tuy nhiên, nó hoàn toàn có thể xử lý những thông điệp nhật ký sự kiện Windows. Công cụ này cũng tương thích với Anaval, CĂN CỨ, Hắt hơi, và Mực.

    Các tính năng tương hỗ update hữu ích được tích hợp trong Sagan gồm có xử lý phân tán và một Địa lý IP. Đây là một ý tưởng tốt vì tin tặc thường sử dụng một loạt địa chỉ IP cho những cuộc tiến công xâm nhập nhưng bỏ qua thực tiễn là vị trí chung của những địa chỉ đó kể một câu truyện. Sagan hoàn toàn có thể thực thi những tập lệnh để tự động hóa khắc phục tiến công, gồm hoàn toàn có thể tương tác với những tiện ích khác ví như bảng tường lửa và dịch vụ thư mục. Những kĩ năng này làm cho nó một Hệ thống ngăn ngừa xâm nhập.

    9. Splunk

    Splunk là một công cụ phân tích lưu lượng mạng phổ cập cũng hoàn toàn có thể NIDS và HIDS. Công cụ hoàn toàn có thể được setup trên những hiên chạy cửa số và hơn thế nữa Linux. Các tiện ích có sẵn trong ba phiên bản. Đó là Splunk Free, Splunk Light, Splunk Enterprise và Splunk Cloud. You hoàn toàn có thể làm được bản dùng thử 15 ngày đến phiên bản nhờ vào Đám mây của công cụ và bản dùng thử miễn phí 60 ngày của doanh nghiệp Splunk. Splunk Light có sẵn trên bản dùng thử miễn phí 30 ngày. Tất cả những phiên bản này gồm hoàn toàn có thể tích lũy tài liệu và phát hiện không bình thường.

    Các tính năng bảo mật thông tin của Splunk hoàn toàn có thể được tăng cường với một tiện ích tương hỗ update, được gọi là Bảo mật doanh nghiệp Splunk. Điều này còn có sẵn trong một thử nghiệm miễn phí 7 ngày. Công cụ này giúp tăng cường mức độ đúng chuẩn của việc phát hiện không bình thường và giảm những trường hợp dương tính giả thông qua việc sử dụng AI. Phạm vi chú ý hoàn toàn có thể được kiểm soát và điều chỉnh theo mức độ nghiêm trọng chú ý để ngăn nhóm quản trị khối mạng lưới hệ thống của bạn bị ngập trong một mô-đun báo cáo quá nhiệt tình.

    Splunk tích hợp tham chiếu tệp nhật ký để được cho phép bạn đã có được một viễn cảnh lịch sử về những sự kiện. You hoàn toàn có thể phát hiện những quy mô trong những cuộc tiến công và hoạt động và sinh hoạt giải trí xâm nhập bằng phương pháp xem xét tần suất của hoạt động và sinh hoạt giải trí ô nhiễm theo thời hạn.

    Triển khai NIDS

    Rủi ro rình rập đe dọa bảo mật thông tin an ninh mạng của bạn giờ đây toàn vẹn và tổng thể đến mức bạn thực sự không còn sự lựa chọn nào về việc có thực thi những khối mạng lưới hệ thống phát hiện xâm nhập nhờ vào mạng hay là không. Chúng rất thiết yếu. May mắn thay, bạn có một sự lựa chọn về công cụ NIDS nào bạn setup.

    Hiện tại có thật nhiều công cụ NIDS trên thị trường và hầu hết chúng thường rất hiệu suất cao. Tuy nhiên, có lẽ rằng bạn không còn đủ thời hạn để khảo sát toàn bộ. Đây là nguyên do tại sao chúng tôi tập hợp hướng dẫn này. You hoàn toàn có thể thu hẹp tìm kiếm của tớ xuống chỉ những công cụ NIDS tốt nhất mà chúng tôi đưa vào list của chúng tôi.

    Tất cả những công cụ trong list đều là miễn phí sử dụng hoặc có sẵn dưới dạng ưu đãi dùng thử miễn phí. You sẽ hoàn toàn có thể đưa một vài người trong số họ trải qua những bước chân của tớ. Chỉ cần thu hẹp list hơn thế nữa theo hệ điều hành quản lý và tiếp theo đó nhìn nhận tính năng nào trong list rút gọn phù phù thích hợp với kích thước của mạng và nhu yếu bảo mật thông tin của bạn.

    You có sử dụng công cụ NIDS không? Mà bạn đã chọn để setup? You đã và đang thử một công cụ HIDS chưa? Làm thế nào bạn sẽ so sánh hai kế hoạch thay thế? Để lại tin nhắn trong Bình luận phần phía dưới và chia sẻ kinh nghiệm tay nghề của bạn với hiệp hội.

    Hình: Tội phạm mạng tin tặc từ Pixabay. Phạm vi công cộng.

    Reply
    9
    0
    Chia sẻ

    Video Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata ?

    You vừa Read nội dung bài viết Với Một số hướng dẫn một cách rõ ràng hơn về Clip Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata tiên tiến và phát triển nhất

    Chia Sẻ Link Cập nhật Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata miễn phí

    Heros đang tìm một số trong những Chia Sẻ Link Cập nhật Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata miễn phí.

    Thảo Luận vướng mắc về Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata

    Nếu sau khi đọc nội dung bài viết Triển khai khối mạng lưới hệ thống phát hiện và ngăn ngừa xâm nhập suricata vẫn chưa hiểu thì hoàn toàn có thể lại Comments ở cuối bài để Mình lý giải và hướng dẫn lại nha
    #Triển #khai #hệ #thống #phát #hiện #và #ngăn #chặn #xâm #nhập #suricata