ホームネットワークのイベント監視
無料のSIEMタイプの製品をいくつか利用して、ホームネットワーク上のデバイスの攻撃や侵害を検出する可能性を高めたいと思います。私のホームデバイスのほとんどはLinuxを実行しています。私は、多大な労力をかけずに可能な解決策にのみ関心があります(たとえば、セットアップ時間は最大で5時間以内、手作業による給餌と散水は最小限です)。
保護したい通常のホームネットワークアセットがあります。帯域幅を含むコンピューティングリソースの整合性と可用性(ボットネットの一部であったことに気付くとよいでしょう)。オンラインアカウントの資格情報の機密性。保存されたメディアの可用性など.
thissite に関するいくつかの調査では、Googleは Snort + Snorby がオプションである可能性があることを示唆しています。私は Splunk を使用した経験もあり、1日あたり最大500MBのログが無料で、他の任意の製品と組み合わせることができます(私はSplunkのファンですが、セキュリティ上の目的で使用していません)。
これは実行可能ですか、それともすべてのSIEMツールはフルタイムのセキュリティ運用専門家によって実行されるように設計されていますか?それが実行可能である場合、Splunkで使用する必要があるSnort + Snorbyを検出するために何を設定できますか/どの apps または公的に利用可能な構成と検索を使用する必要がありますか?
これらの2つのオプションのどちらが、実際に有用でありながら、セットアップとメンテナンスの手間が少ないという私の目標を達成する可能性が最も高いですか?
私はそのようなセットアップをしている人*の経験に特に興味がありますが、これらのツールを使用した専門的な経験に基づく意見も歓迎します。
*自宅でセットアップを実行している場合および生計を立てているセコップの人でもあり、このことを述べてください:)
セキュリティタマネギはあなたの最善の策のように聞こえます。それはセットアップし、IDSはかなり速くなります。ネットワークの内外のトラフィックを監視し、自宅のクライアントにOSSECをインストールして、セキュリティオニオンを指すようにします。このウェブサイトには、ハウツーで必要なすべての情報があります。 http://securityonion.blogspot.com/
securityonionはそのタスクにも私のお気に入りですが、
これは実行可能ですか、それともすべてのSIEMツールはフルタイムのセキュリティ運用専門家によって実行されるように設計されていますか?
発生している攻撃の種類と、一部のアラートがルールをトリガーしている理由についての手がかりが必要です。 snort/suricataはネットワークベースのIDであるため、トラフィックをフィルタリングおよびスキャンし、IDを適切に調整しないと、偽のpostiviesを生成する可能性があります。
インストール不要の解決策はありません。
それが実行可能な場合、Snort + Snorbyを構成して何を検出できますか?
ネットワークパケットに収まるすべて:)
それを使用して、攻撃を検出することができます->侵入だけでなく、悪意のあるものも侵入します->攻撃、最新の新興脅威ルールセットを使用している場合*)インターネットに接続しているNICに何がクラッシュするのか不思議に思うでしょう侵入する
splunkで使用する必要があるのは、どのアプリまたは公開されている構成と検索ですか?
snortは、フリーフォーム検索を備えた中央のログストア/インデックスです
これらの2つのオプションのどちらが、実際に有用でありながら、セットアップとメンテナンスの手間が少ないという私の目標を達成する可能性が最も高いですか?
イベントを分析し、誤検知を分類し、セットアップを最適化する必要があるため、このようなセットアップで使用するすべてのツールを「学習」する必要があります。この調整が最も時間がかかります。そして、あなたはチューニングする必要があります。
私はそのようなセットアップをしている人*の経験に特に興味がありますが、これらのツールを使用した専門的な経験に基づく意見も歓迎します。
これらのツールはそのような状況に最適ですが、代償は次のとおりです。
*)残念ながら、etは近年非常にアンチウイルス中心になり、いくつかの卓越性を失っています、imho