Combina rilevamento SNORT e registra con risposta attiva OSSEC

0

Per quanto ne so, i NIDS implementati nel livello di rete e HIDS nel livello basato su host, è possibile per il registro NIDS (ad esempio: Snort o Suricata) che includerà anche il registro HIDS (ad esempio: OSSEC)? I NID e gli HID sono sistemi stand-alone che non possono essere integrati l'un l'altro?

L'assunto è come segue:

  1. Ho implementato sia NIDS che HID nel mio server
  2. NID per SNORT e HIDS per Ossec.
  3. Dopo, diciamo che ci sono anomalie che potrebbero essere trovate nel livello di rete (i.e DDoS)
  4. Sembra un lavoro per NIDS (SNORT)
  5. Dovrebbero essere attivate le regole SNORT.
  6. SNORT ha analizzato l'anomalia, raccolto le informazioni ed eseguito alcune azioni che assegniamo alle regole SNORT.
  7. SNORT esegue qualche azione per l'anomalia trovata.
  8. Successivamente, le informazioni raccolte da SNORT verranno inviate a Ossec.
  9. Se l'attaccante (l'anomalia) può passare le regole SNORT, c'è un backup che gestisce l'anomalia, ed era OSSEC

È possibile? o questa non è una buona idea?

Il motivo per cui lo faccio è che voglio creare una sicurezza diversa che si trovi in rete e basata su host, in modo da rendere il mio data center / server più sicuro rispetto all'utilizzo di un tipo di IDS

    
posta gagantous 30.10.2017 - 04:16
fonte

1 risposta

1

Esiste una soluzione dal link . Offrono un prodotto che incorpora HIDS e NID in una scatola. In realtà usano Suricata e Ossec.

    
risposta data 30.10.2017 - 11:14
fonte

Leggi altre domande sui tag