Per quanto ne so, i NIDS implementati nel livello di rete e HIDS nel livello basato su host, è possibile per il registro NIDS (ad esempio: Snort o Suricata) che includerà anche il registro HIDS (ad esempio: OSSEC)? I NID e gli HID sono sistemi stand-alone che non possono essere integrati l'un l'altro?
L'assunto è come segue:
- Ho implementato sia NIDS che HID nel mio server
- NID per SNORT e HIDS per Ossec.
- Dopo, diciamo che ci sono anomalie che potrebbero essere trovate nel livello di rete (i.e DDoS)
- Sembra un lavoro per NIDS (SNORT)
- Dovrebbero essere attivate le regole SNORT.
- SNORT ha analizzato l'anomalia, raccolto le informazioni ed eseguito alcune azioni che assegniamo alle regole SNORT.
- SNORT esegue qualche azione per l'anomalia trovata.
- Successivamente, le informazioni raccolte da SNORT verranno inviate a Ossec.
- Se l'attaccante (l'anomalia) può passare le regole SNORT, c'è un backup che gestisce l'anomalia, ed era OSSEC
È possibile? o questa non è una buona idea?
Il motivo per cui lo faccio è che voglio creare una sicurezza diversa che si trovi in rete e basata su host, in modo da rendere il mio data center / server più sicuro rispetto all'utilizzo di un tipo di IDS