数年前、外部ファイアウォールの前にタップを配置し、DS1上のすべてのトラフィックをIDSボックスにパイプして、その結果をACiDを実行しているロギングサーバーに送信することで、IDSソリューションをセットアップしました。これは2005年頃でした。ソリューションを刷新して拡張するように依頼されましたが、ACiDの最後のリリースは2003年のものであり、リモートでさえ最新のように見えるものは他に見つからないようです。これらは完全な機能かもしれませんが、ライブラリの競合などが心配です。やや最新のツールを使用したLinux/OpenBSDベースのソリューションの提案を誰かに教えてもらえますか?
明確にするために、私はSnortがまだ活発に開発されていることを知っています。私は、データを統合するための最新のオープンソースWebコンソールの市場にもっといると思います。もちろん、Snort以外のIDSで素晴らしい経験をしている人がいれば、それについて聞いてうれしいです。
最良のオープンソースの組み合わせは次のとおりです。
NIDSの場合:WebUI用のBASEを使用したSnort
HIDSの場合:OSSEC
また、OSSECを使用してNIDSデータを1つの場所に統合します(SIEM OSSECがログ分析、ファイル整合性チェック、ルートキット検出を行うように)。
リンク: http://www.snort.orghttp://www.ossec.nethttp://base.secureideas.net/ ==
Prelude-IDSに基づくオープンソースの無料ソリューションを使用できます http://www.prelude-ids.com/
Prelude IDSは、SIM(セキュリティ情報管理)システム/ IDSフレームワークです。
SnortはNIDSとして使用できます
HIDSとしてのプレリュードLML:SSH、Cisco PIX、Netfilter IPFW、Postfix、Sendmailのルールセット...
Prewikkaは、公式のPreludeユーザーインターフェイスです:Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka に基づくWeb GUI
OSSIM。
OSSIMは、そのようなものすべてを統合します。 OSSEC、Snortなど。
オープンソース&無料。
OSSIMには、次のソフトウェアコンポーネントがあります。
Arpwatch –MAC異常検出に使用されます。
P0f –パッシブOS検出およびOS変更分析に使用されます。
パッド–サービス異常の検出に使用されます。
Nessus –脆弱性評価と相互相関(IDSとセキュリティスキャナー)に使用されます。
Snort –IDS。nessusとの相互相関にも使用されます。
Spade –統計パケット異常検出エンジン。シグニチャのない攻撃に関する知識を得るために使用されます。
Tcptrack –攻撃の相関に役立つことが証明できるセッションデータ情報に使用されます。
Ntop –異常な動作/異常検出を特定できる印象的なネットワーク情報データベースを構築します。
Nagios –ホスト資産データベースから供給され、ホストとサービスの可用性情報を監視します。
オシリス–素晴らしいHIDS。
OCS-NG –クロスプラットフォームの在庫ソリューション。
OSSEC –整合性、ルートキット、レジストリ検出など。
http://www.alienvault.com/community.php?section=Home
-ジョシュ