侵入検知スタックの構築にどのFOSSソフトウェアを使用したいですか？

Question

多くの場合、セキュリティを意識した新興企業や予算が限られた組織では、侵入検知スタックを導入することが推奨されます。 防止は常に失敗するとすると、侵入検知スタックは、防御が失敗した理由を知るために非常に重要です。

私は、アプリ層、システム層、ネットワーク層をカバーする次の侵入スタックのファンです。

システム： [〜＃〜] ossec [〜＃〜]
アプリケーション： ModSecurity
ネットワーク： FlowMatrix （私はだまされました、これはFOSSではありませんが、無料です！）

お気に入りの侵入（FOSSまたは無料）スタックは何ですか？

atdre · Accepted Answer

http://www.owasp.org/index.php/The_ESAPI_Web_Application_Firewall_%28ESAPI_WAF%29
http://www.owasp.org/index.php/OWASP_AppSensor_Project
http://qosient.com/argus/
http://ourmon.sourceforge.net

Scott Pack · Answer

Snortは、長い実績を持つ優れたIDSです。私は自分の組織で12をわずかに超えるセンサーを展開しており、継続的にさらに多くのセンサーを追加しています。 Snortの最大の問題は、現在のバージョンがシングルスレッドであることですが、それは次のバージョン3リリースで変更される予定です。 Emerging Threats ルールと組み合わせると、この製品に非常に感銘を受けました。

完全なプラットフォームは、次のもので構成されています。

Snort
パペット（システム管理とルールの分散）
Oinkmaster （ルールの更新と管理用）
Cobbler （プロビジョニング用）
RedHat

すべてのロギングはRSA enVisionを使用して集約されますが、Splunkが適切に処理する必要があります。

Weber · Answer

Bro IDS http://www.bro-ids.org/ は、全米科学財団のインターネットプログラム、DOE、DEC、およびその他の研究グループのための戦略的テクノロジーによって資金提供されています。独自のイベント駆動型システムがあり、追加の署名ベースの検出のためのSnortルールをインポートすることもできます。