私が理解しているように、侵入保護システム(IPS)は異常な動作を検出し、プロトコルの異常を検出し、マルウェア、DDoSなどをブロックするシグネチャフィルタリングを実行します。アンチウイルスはトラフィックもスキャンし、マルウェアをブロックします。
そのとき私は混乱しています-違いは何ですか?
IPS Checkpointが最終的にアンチウイルス署名をIPSのみに追加するようなものですか、それともまったく新しいソフトウェアを使用していますか?
Suricataは、CLAMAV署名を追加した場合、IPSおよびウイルス対策として機能しますか?
AVはソフトウェアに関連付けられていますが、これは、IPSがファイアウォールに関連付けられているのが一般的であるという考え方です。
私が管理しているMcAfee環境では、IPSを使用してファイアウォールトラフィックをブロック/許可しています。そのため、既知で予想されているものを使用して、残りをブロックします。IPS =また、どのアプリケーションがどのポートを介してどこに通信しているかを調べます。
一方、アンチウイルスは、デバイス上で実行したいソフトウェアを調べ、既知の不正な実行可能ファイルのリストと比較し、ヒューリスティックスとともに、既知の不正な動作のリストと比較します。したがって、AVは暗号化動作をブロックすることでCryptoLockerを停止し、IPSは(理論的には)C&Cサーバーへのトラフィックをブロックすることでブロックします。
私はチェックポイントに詳しくないので、その質問への回答をここの他の人に延期します。
1999年ではないため、どちらも存在しません。2019年です。
探しているのは、Endpoint Detection and ResponseプラットフォームやUser Behavior Analyticsプラットフォームです。どちらも、エンドポイントとネットワークデータの組み合わせで機能しますが、資産とインジケーターの検索機能も提供します。
古いツールは、この新しいパラダイムに適応するのに苦労しています。多くの場合、直接的な相関関係はありません。 SuricataがUBAである、またはClamAVがEDRであるとは言えません。彼らはそうではなく、おそらくそうなることはないでしょう。