SNORT検出とログをアクティブレスポンスOSSECと組み合わせる
私の知る限りでは、NIDSはネットワークレイヤーに実装され、HIDSはホストベースレイヤーに実装されています。NIDS(たとえば:Snortまたはsuricata)ログがHIDS(たとえば:OSSEC)ログに含まれる可能性はありますか? NIDSとHIDSは、互いに統合できないスタンドアロンシステムですか?
想定は次のようになります。
- サーバーにNIDSとHIDSの両方を実装しました
- SNORTのNIDSおよびOssecのHIDS。
- その後、ネットワーク層で発見された可能性のある異常があるとしましょう(つまり、DDoS)
- それはNIDS(SNORT)の仕事のように見えます
- SNORTルールをトリガーする必要があります。
- SNORT異常を分析し、情報を収集して、SNORTルールで割り当てるアクションを実行します。
- SNORTは、検出された異常に対して何らかのアクションを実行します。
- その後、SNORTが収集した情報がOssecに送信されます。
- 攻撃者(アノマリー)がSNORTルールを通過できる場合、アノマリーを処理するバックアップがあり、OSSECでした。
これは可能ですか?またはこれは良い考えではありませんか?
これを実行する私の動機は、ネットワークおよびホストベースにあるいくつかのセキュリティを作成したいので、1種類のIDSを使用するよりもデータセンター/サーバーをより安全にします
ここで答えを出すのは遅すぎるかもしれません。しかし、私はこれを書いて、初心者が漁獲物を見つけようとするときに役立つかもしれない私のアプローチを提示する必要があると思います。
SnortはネットワークIDSではなくネットワークIDSとしてのみ設定できます。これは、ネットワークトラフィックを監視することのみが可能であり、ホスト内部で発生することはできないという事実を考慮するとです。 SNORTでは、ホスト内のファイルまたはディレクトリに関係するルールはありません。したがって、ホストではなく、ネットワークについてのみ説明します。
一方、OSSECはSNORTとは大きく異なります。OSSECは、ホストを取り巻くアクティビティにのみ焦点を当てているからです。
https://www.alienvault.com/ からの解決策があります。彼らはボックスにHIDSとNIDSを組み込んだ製品を提供しています。彼らは実際にSuricataとOssecを使用しています。