Explication des systèmes de détection d'intrusion basés sur l'hôte – 6 meilleurs outils HIDS pour 2022
Qu’est-ce que HIDS ou Host Intrusion Detection System ?
HIDS est un acronyme pour système de détection d'intrusion sur l'hôte. Il surveillera l'ordinateur/le réseau sur lequel il est installé à la recherche d'intrusions et d'utilisations abusives. S'il est trouvé, il enregistrera l'activité suspecte et en informera l'administrateur.
HIDS est similaire à l’utilisation de caméras de sécurité intelligentes dans votre maison ; si un intrus pénétrait par effraction dans votre maison, la caméra commencerait à enregistrer et enverrait une alerte en temps réel à votre appareil mobile.
Voici notre liste des six meilleurs outils HIDS :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEURCe HIDS collecte et rassemble les messages de journal provenant de tout votre système, puis recherche les enregistrements des menaces, déclenche des alertes et met en œuvre des réponses automatisées. Fonctionne sur Windows Server mais collecte également des données sur les systèmes Linux, macOS et Unix.
- Papertrail (PLAN GRATUIT)Agrégateur de journaux basé sur le cloud de SolarWinds en versions gratuite et payante.
- Analyseur de journaux d'événements ManageEngineCet outil examine les données des fichiers journaux de Windows Server ou Linux et ajoute des informations sur les menaces provenant d'autres sources.
- OSSECProcesseur de fichiers journaux gratuit qui implémente des stratégies de détection basées sur l'hôte et sur le réseau. S'installe sur Windows, Linux, Unix et Mac OS.
- SaganOutil gratuit de détection d'intrusion basé sur l'hôte qui utilise à la fois des stratégies basées sur les signatures et les anomalies. Peut fonctionner sous Linux, Unix et Mac OS.
- SplunkLogiciel gratuit de détection d'intrusion basé sur l'hôte avec une édition payante qui inclut également des méthodes basées sur le réseau. S'installe sur Windows, Linux et Mac OS et il existe également une version basée sur le cloud.
La détection d'intrusion est devenue une méthode de protection importante des réseaux afin de lutter contre les faiblesses de sécurité inhérentes à tout système incluant un élément humain. Quelle que soit la rigueur de vos politiques d’accès des utilisateurs, les pirates peuvent toujours les contourner en incitant un employé à divulguer ses identifiants d’accès.
Les pirates informatiques disposant d'un accès peuvent occuper un système d'entreprise pendant des années sans être détectés. Ce type d'attaque est appeléMenace persistante avancée(APTE). Les IDS visent spécifiquement à éliminer les APT.
Un outil HIDS se concentre sur la surveillance des fichiers journaux. La plupart des applications génèrent des messages de journal et le stockage de ces enregistrements dans des fichiers vous permet de les parcourir au fil du temps et de repérer les indications d'intrusion. L'un des gros problèmes liés à la collecte de chaque message de journal sur votre système est que vous vous retrouverez avec une grande quantité de données . Le stockage des messages de journal de manière systématique vous aide à identifier le bon fichier pour obtenir des données par application et par date. Donc, la première étape extraire des informations significatives de votre système de journalisation consiste à organiser les noms de fichiers et la structure des répertoires de votre serveur de fichiers journaux.
La prochaine étape dans la mise en œuvre d'un HIDS consiste à obtenir une détection automatisée. Un HIDS recherchera dans les messages du journalévénements spécifiquesqui semblent avoir enregistré une activité malveillante. Il s'agit du cœur d'un outil HIDS et la méthode de détection qui spécifie les enregistrements à récupérer est définie parStratégieset unbase de règles.
De nombreux HIDS vous permettent deécrivez vos propres règles de génération d'alertes. Cependant, ce que vous recherchez réellement lorsque vous choisissez un système de sécurité, c'est un ensemble de règles pré-écrites qui intègrent l'expertise des experts en sécurité qui écrivent le logiciel.
Un HIDS est aussi efficace que les politiques qu’il propose. On ne peut pas s’attendre à ce que vous soyez à jour avec tous les derniers vecteurs d’attaque tout en consacrant du temps aux tâches quotidiennes de votre travail et il ne sert à rien d’essayer de tout savoir si vous y parvenez. compétence fourni par l'outil HIDS.
L'importance des fichiers journaux
Le volume de messages de journaux et d’événements peut être écrasant et il est tentant de les ignorer. Cependant, le risque de litige déclenché par la divulgation de données ou les dommages pouvant être causés à une entreprise par ce biais perte de données signifie que ne pas protéger les données peut désormais ruiner votre entreprise.
Les problèmes de sécurité et de protection des données sont désormais devenusintégré aux exigences du contratet il existe de nombreuses normes que les industries suivent désormais afin de rassurer les parties prenantes et de garantir la sécurité de l'entreprise. La conformité aux normes d'intégrité des données inclut des exigences en matière de maintenance des fichiers journaux.
Selon la norme mise en œuvre par votre entreprise, vous devrez stocker les fichiers journaux pendant plusieurs années. Ainsi, la gestion des fichiers journaux est désormais devenue une exigence commerciale importante. Pendant que vous configurez un serveur de journaux, vous pourriez aussi bieny intégrer des mesures de sécurité, et c'est ce que fait HIDS.
Sécurité des fichiers journaux
Le maintien de l'intégrité des fichiers journaux est un élément essentiel de HIDS . Les messages d'événement peuvent identifier les tentatives d'intrusion et les fichiers journaux sont donc des cibles pour les pirates. Un intrus peut brouiller les traces en manipulant les fichiers journaux pour supprimer les enregistrements incriminants. Donc, un serveur de journaux qui sauvegarde les fichiers journaux et vérifie les modifications non autorisées est important pour la conformité aux normes de sécurité des données.
Les systèmes HIDS ne peuvent pas protéger efficacement les ressources de votre système si ses informations sources sont compromises. La protection des fichiers journaux s'étend également au système d'authentification de votre réseau. Aucun système de protection automatisé des fichiers journaux ne serait capable de faire la distinction entre les accès autorisés et non autorisés aux fichiers journaux sans surveiller également la sécurité des autorisations des utilisateurs.
HIDS et NIDS
Les systèmes de détection d'intrusion basés sur l'hôte ne sont pas les seules méthodes de protection contre les intrusions. Les systèmes de détection d'intrusion sont divisés en deux catégories. HIDS est l’un de ces secteurs, l’autre étant celui des systèmes de détection d’intrusion basés sur les réseaux.
HIDS et NIDS examinent les messages système. Cela revient à examiner à la fois les messages de journal et d'événement. Cependant,NIDS examine également les données par paquetslors de son passage dans les réseaux. La règle générale qui répartit les responsabilités de détection des intrusions entre ces deux méthodologies est que le NIDS capture des données en direct à des fins de détection et de détection.HIDS examine les enregistrements dans les fichiers.
L’avantage des NIDS est qu’ils offrent une réponse plus rapide que les HIDS. Dès qu'un événement suspect survient sur le réseau, le NIDS doit le repérer et déclencher une alerte. Cependant, les pirates informatiques sont sournois et ajustent constamment leurs méthodes pour échapper à la détection.Certains modèles d'activité ne deviennent apparents comme malveillants que lorsqu'ils sont considérés dans un contexte plus large..
Qu’il soit préférable d’obtenir un HIDS ou un NIDS n’est pas un gros problème car vous avez réellement besoin des deux.
Article similaire: Meilleur logiciel NIDS
Attributs clés du HIDS
En analysant les données historiques sur les activités, un HIDS est capable de repérer les modèles d'activité qui se produisent au fil du temps. Cependant, même sur les réseaux de taille moyenne,les volumes d'enregistrements de journaux générés quotidiennement peuvent être très importants, il est donc important de choisir un outil de tri et de recherche efficace.
Votre HIDS ne vaudra pas la peine d’être utilisé s’il est trop lent. Rappelez-vous, que de nouveaux records s'accumulent constamment , donc un HIDS rapide peut souvent être meilleur qu'un outil très bien présenté. Les administrateurs système intelligents préfèrent faire des compromis sur la présentation pour gagner en rapidité. Cependant, un outil HIDS à la fois rapide et bien présenté constitue la meilleure offre de toutes.
HIDS et SIEM
Vous rencontrerez le terme SIEM beaucoup lorsque vous étudiez les systèmes de sécurité des réseaux. Cet acronyme signifieGestion des informations de sécurité et des événements. Il s'agit d'un terme composite qui a évolué en combinantGestion des informations de sécurité(Oui) etGestion des événements de sécurité(LEQUEL). La gestion des informations de sécurité examine les fichiers journaux et est donc la même chose qu'un HIDS. La gestion des événements de sécurité surveille les données en direct, ce qui en fait l'équivalent d'un NIDS. Si vous mettez en œuvre un système de détection d’intrusion hybride, vous aurez créé un SIEM.
Systèmes de prévention des intrusions
En tant que système de détection d'intrusion, un HIDS est un élément important de la protection du réseau. Cependant, il ne fournit pas toutes les fonctionnalités dont vous avez besoin pour protéger les données de votre entreprise contre le vol ou les dommages. Il faut également pouvoiragir sur la base des informations fournies par un IDS.
La résolution des menaces peut être effectuée manuellement. Vous disposez peut-être d’outils de gestion de réseau qui vous aideront à bloquer les intrus. Cependant, lier la détection et la remédiation crée unsystème de prévention des intrusions(IPS).
Les stratégies de détection et de prévention des intrusions partent du principe qu’aucun pare-feu ou système antivirus n’est infaillible. L'IDS constitue la deuxième ligne de défense et de nombreux experts en sécurité informatique préviennent quepersonne ne devrait s’appuyer sur une stratégie de protection du réseau à ses frontièrescar tout système de sécurité peut être compromis par des erreurs d’utilisateurs ou des activités malveillantes d’employés.
« Système de prévention des intrusions » est un terme quelque peu inapproprié, car l'IPS corrige les failles de sécurité une fois qu'elles ont été détectées, plutôt que de rendre le système si étanche qu'aucune tentative d'intrusion ne puisse se produire en premier lieu.
Protection avancée contre les menaces
Un autre terme que vous pourriez rencontrer lorsque vous traitez des menaces persistantes avancées est ATP. Cela signifie Advanced Threat Protection. Dans sa forme de base, un système ATP est identique à un IDS. Cependant, certains fournisseurs ATP mettent l’accent sur les renseignements sur les menaces comme une caractéristique déterminante de leurs systèmes.La veille sur les menaces fait également partie de la définition d'un système IDS et SIEM..
Dans un HIDS, les renseignements sur les menaces sont basés sur une base de règles de termes de recherche de données et de tests système qui identifient les activités malveillantes. Cela peut être fourni sous la forme de chèques codés ou de règles ajustables définies comme politiques. Les renseignements sur les menaces peuvent également être formulés au sein d’un IDS grâce à l’IA. Cependant, les stratégies d’élaboration de politiques des systèmes automatisés ne peuvent être aussi complètes que les règles d’inférence qui y sont intégrées lors de leur création.
Les fournisseurs ATP soulignent leurs services centraux de sensibilisation aux menaces comme une caractéristique déterminante. Ces services sont proposés soit sous forme d'abonnement supplémentaire au logiciel ATP, soit sont inclus dans le prix d'achat. C'estun élément de partage d'informations qui permet au fournisseur de logiciels ATP de distribuer de nouvelles politiques et règles de détectionbasé sur l’identification réussie de nouveaux vecteurs d’attaque par d’autres organisations. Certains fournisseurs HIDS incluent ce service et certains HIDS sont pris en charge par des communautés d'utilisateurs qui partagent de nouvelles politiques de détection. Cependant, les fournisseurs HIDS ne sont pas aussi forts sur cet élément de distribution d’informations sur les menaces de leurs services que les fournisseurs ATP.
Méthodes de détection HIDS
HIDS et NIDS peuvent être divisés en deux sous-catégories selon leurs méthodes de détection. Ceux-ci sont:
- Détection basée sur les anomalies
- Détection basée sur les signatures
Il n’existe pas de correspondance directe entre NIDS et HIDS pour aucune de ces deux stratégies. Autrement dit, on ne peut pas dire que le NIDS s’appuie davantage sur l’une de ces méthodes et que le HIDS se concentre uniquement sur l’autre méthodologie de détection. HIDS et NIDS peuvent utiliser l’une ou l’autre de ces stratégies de détection, ou les deux.
Un HIDS avec une stratégie basée sur les signatures fonctionne de la même manière que les systèmes antivirus ; un NIDS basé sur les signatures fonctionne comme un pare-feu. Autrement dit, l’approche basée sur les signatures recherche des modèles d’intrusion dans les données. Un pare-feu recherche les mots-clés, les types de paquets et l'activité du protocole sur le trafic réseau entrant et sortant, tandis qu'un NIDS effectue les mêmes vérifications sur le trafic circulant au sein du réseau. Un programme antivirus recherchera des modèles de bits ou des mots-clés spécifiques dans les fichiers programme et un HIDS fera de même pour les fichiers journaux.
Une anomalie serait un comportement inattendu d'un utilisateur ou d'un processus. Un exemple de ceci serait le même utilisateur se connectant au réseau depuis Los Angeles, Hong Kong et Londres le même jour. Un autre exemple serait si les processeurs d’un serveur commençaient soudainement à travailler dur à 2h00 du matin.Un HIDS basé sur les anomalies rechercherait dans les fichiers journaux les enregistrements de ces activités inhabituelles.; un NIDS basé sur les anomalies tenterait de repérer ces irrégularités au fur et à mesure qu’elles se produisent.
Comme pour le choix entre HIDS et NIDS, la décision d’opter pour une détection basée sur les signatures ou pour un IDS basé sur les anomalies est résolue en optant pour les deux.
Base de données de somme de contrôle et HIDS
Une méthode permettant d'identifier si les fichiers journaux ont été falsifiés réside dans les bases de données de somme de contrôle. Le système de protection des journaux calcule un nombre, en fonction des attributs d'un fichier, tels que les autorisations, la taille et la date des modifications, puis convertit ce nombre en hachage, ou par des systèmes tels que MD5 ou SHA1. La somme de contrôle de chaque fichier est ensuite stockée dans une base de données.
Les fichiers journaux plus anciens qui ne sont pas encore ajoutés ne devraient pas changer du tout. S’ils sont modifiés intentionnellement d’une manière autorisée, cela doit être fait via le visualiseur d’accès aux données du système SIEM. Dans ce cas, lors de la mise à jour du fichier, le système SIEM mettrait à jour la valeur stockée pour ce fichier dans la base de données de somme de contrôle.
Des recalculs périodiques des sommes de contrôle des fichiers stockés, comparés aux entrées pertinentes dans la base de données des sommes de contrôle, indiqueront si un fichier a été modifié sans autorisation. Dans un tel cas, le système SIEM restaurera la version originale du fichier à partir d'une version de sauvegarde.
Outils HIDS recommandés
Vous pouvez affiner votre recherche d'un logiciel de détection d'intrusion basé sur l'hôte en lisant nos recommandations. Cette liste représente le meilleur de la race pour chaque aspect d'un HIDS.
Tu trouverasoutils gratuitsdans la liste, dont certains ont des interfaces utilisateur très médiocres, mais ont été inclus dans la liste car ils ont des vitesses de traitement des données très rapides. Vous trouverez également dans la liste des outils qui incluent des procédures générales de gestion des fichiers journaux et qui ont été spécifiquement écrits pour se conformer aux normes bien connues.normes de sécurité des données. D'autres outils sont complets et vous offrent tout ce dont vous avez besoin dans un HIDS, tant dans le backend que dans l'interface.
Notre méthodologie de sélection d'un package de détection d'instructions basé sur l'hôte
Nous avons examiné le marché des systèmes de détection d'intrusion basés sur l'hôte et analysé les options en fonction des critères suivants :
- Un package capable de collecter des données d'événement à partir de plusieurs appareils connectés à un réseau
- Un consolidateur qui crée un pool standardisé de données sources
- Une stratégie de détection des menaces
- Un système de triage pour accélérer la détection
- Un mécanisme d’alerte qui attire l’attention sur les menaces réelles
- Un essai gratuit pour un système payant ou un outil dont l'utilisation est gratuite
- Un système payant qui en vaut la peine ou un outil gratuit qui offre une protection significative
1. Gestionnaire d'événements de sécurité SolarWinds(ESSAI GRATUIT)
SolarWinds a créé un HIDS doté de capacités de remédiation automatisées, ce qui en fait un système de prévention des intrusions, le système de sécuritéResponsable de l'événement. L'outil comprend des rapports d'audit de conformité pour vous aider à rester sur la bonne voie avec PCI DSS, SOX, HIPAA, ISO, NCUA, FISMA, FERPA, GLBA, NERC CIP, GPG13 et DISA STIG.
Principales caractéristiques:
- Forfait sur site
- Collecte et consolidation des journaux
- Corrélation d'événements
- Détection automatisée des menaces
- Option d'analyse manuelle
Les fonctionnalités de protection des fichiers journaux intégrées à cet utilitaire incluent le chiffrement pendant le transit et le stockage, ainsi que la surveillance de la somme de contrôle des dossiers et des fichiers. Tu peuxtransférer les messages du journaletsauvegarder ou archiver des dossiers et des fichiers entiers. Ainsi, les fonctionnalités de gestion des fichiers journaux et d’intégrité de cet outil sont exceptionnelles.
L'outil surveillera en permanence vos fichiers journaux, y compris ceux qui sont encore ouverts pour de nouveaux enregistrements. Vous n'êtes pas obligé d'émettre des requêtes manuellement, car le gestionnaire d'événements de sécurité déclenchera automatiquement des alertes chaque fois qu’une condition d’avertissement est détectée. Le package contient également un outil d'analyse qui vous permet d'effectuer des vérifications manuelles de l'intégrité des données et de détecter les intrusions avec un œil humain.
Avantages:
- HIDS axé sur l'entreprise avec un grand nombre d'intégrations différentes
- Filtrage facile des journaux, pas besoin d'apprendre un langage de requête personnalisé
- Les modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de personnalisation nécessaire
- L'outil d'analyse historique aide à détecter les comportements anormaux, permettant ainsi aux administrateurs système de gagner du temps en lisant entre les lignes.
Les inconvénients:
- SolarWinds Security Event Manager est un produit HIDS avancé conçu pour les professionnels de l'informatique et nécessite du temps pour être pleinement appris.
Bien que ce logiciel ne s'installe que sur Windows Server, il collectera les données de journal d'autres systèmes d'exploitation, notamment Linux et Unix. Tu peux recevoirun essai gratuit de 30 joursdu gestionnaire d’événements de sécurité SolarWinds.
LE CHOIX DES ÉDITEURS
Gestionnaire d’événements de sécurité SolarWindsest notre premier choix pour un système de détection d'intrusion basé sur l'hôte, car il fonctionne sur votre propre serveur, vous offrant un contrôle total et une confidentialité totale sur les actions de recherche de menaces. Vous pouvez laisser ce package collecter des données d'événement et les analyser sans intervention humaine et poursuivre d'autres tâches jusqu'à ce qu'une menace soit détectée et nécessite votre attention. Configurez le système pour qu'il avertisse un technicien afin qu'il analyse manuellement les menaces ou laissez-le passer automatiquement aux réponses aux menaces.
Télécharger:Obtenez un essai gratuit de 30 jours
Site officiel:https://www.solarwinds.com/security-event-manager/registration
TOI:Serveur Windows
2. Papertrail (PLAN GRATUIT)
SolarWinds exécute unService de gestion de journaux basé sur le cloud, appelé Papertrail.C'estun agrégateur de journauxqui centralise le stockage de vos fichiers journaux. Papertrail peut gérerJournaux d'événements Windows,Messages Syslog,Fichiers journaux du serveur Apache,Messages du programme Ruby on Rails, ainsi que les notifications du routeur et du pare-feu. Les messages peuvent être consultés en direct dans le tableau de bord du système au fur et à mesure de leur déplacement vers les fichiers journaux. En plus de gérer les fichiers journaux, l'outil comprend des utilitaires de support analytique.
Principales caractéristiques:
- Basé sur le cloud
- Serveur de journaux et consolidateur
- Basé sur les anomalies et les signatures
- Sauvegarde et archivage des journaux
Les données des journaux sont cryptées à la fois en transit et au repos et l'accès aux fichiers journaux est protégé par authentification. Vos fichiers sont conservés sur le serveur Papertrail etSolarWinds s'occupe des sauvegardes et de l'archivage, afin que vous puissiez économiser de l'argent sur l'achat, la gestion et la maintenance des serveurs de fichiers.
Papertrail emploieméthodes de détection basées sur les anomalies et les signatureset vous bénéficiez des mises à jour des politiques tirées des menaces visant d'autres clients Papertrail. Vous pouvez également créer vos propres règles de détection.
Avantages:
- Le service hébergé dans le cloud permet d'étendre la collecte de journaux sans investir dans une nouvelle infrastructure
- Chiffre les données en transit et au repos
- La sauvegarde et l'archivage sont effectués automatiquement et font partie du service
- Utilise à la fois la détection des signatures et des anomalies pour une surveillance la plus approfondie possible
- Comprend une version gratuite
Les inconvénients:
- Il faut investir du temps pour explorer pleinement toutes les fonctionnalités et options
SolarWinds propose Papertrail sur abonnement avec une gamme de forfaits,dont le plus bas est gratuit.
SolarWinds Papertrail Log Aggregator Inscrivez-vous pour un plan GRATUIT ici
3. Analyseur de journaux d'événements ManageEngine
Analyseur de journaux d'événements de ManageEngineestà la fois un HIDS et un NIDS. Le module de gestion des journaux collecte et stockeJournal systèmeetSNMPmessages. Les métadonnées sur chaque message Syslog sont également stockées.
Principales caractéristiques:
- Sur site pour Windows et Linux
- Collecte et analyse des journaux
- Audit de conformité
Les fichiers journaux sont protégés à la fois par compression et par cryptage et l'accès est protégé par authentification.Les sauvegardes peuvent être restaurées automatiquementlorsque l'analyseur détecte une falsification du fichier journal.
Le tableau de bord est personnalisable et différents écrans et fonctionnalités peuvent être attribués à différents groupes d'utilisateurs. Les rapports incluent des audits de conformité pour PCI DSS, FISMA et HIPAA, entre autres. Vous pouvez également activeralertes de conformité du système.
Avantages:
- Tableaux de bord personnalisables qui fonctionnent parfaitement pour les centres d'exploitation réseau
- Plusieurs canaux d'alerte garantissent que les équipes sont informées par SMS, e-mail ou intégration d'applications
- Utilise la détection des anomalies pour aider les techniciens dans leurs opérations quotidiennes
- Prend en charge la surveillance de l'intégrité des fichiers qui peut servir de système d'alerte précoce en cas de problèmes de ransomware, de vol de données et d'accès aux autorisations.
- Les fonctionnalités d’audit des journaux médico-légaux permettent aux administrateurs de créer des rapports pour les affaires juridiques ou les enquêtes.
Les inconvénients:
- La fonction de recherche pourrait être améliorée, notamment en ce qui concerne l'utilisation de fonctions d'opérateur telles que les caractères génériques, etc.
L'analyseur de journaux d'événements s'exécute surles fenêtresouLinuxet peut s’intégrer aux outils de gestion d’infrastructure de ManageEngine. UNÉdition gratuitede cet outil est disponible, permettant jusqu'à 5 sources de journaux uniquement. Vous pouvez également télécharger un 30 jours d'essai gratuit .
4. OSSEC
L'OSSEC estun HIDS open source gratuitproduit par Trend Micro. Il inclut également des fonctionnalités de surveillance du système qui sont normalement attribuées aux NIDS. Il s’agit d’un processeur très efficace de données de fichiers journaux, mais il n’est pas doté d’interface utilisateur. La plupart des utilisateurs mettentKibanaouJournal grissur le devant de l'OSSEC.
Principales caractéristiques:
- Outil gratuit
- Également des fonctionnalités NIDS
- Ajoutez votre propre interface
Cet outil organisera le stockage de vos fichiers journaux et protégera les fichiers contre la falsification. La détection des intrusions est basée sur les anomalies et est mise en œuvre via «Stratégies.» Ces ensembles de règles peuvent être acquis gratuitement auprès de la communauté des utilisateurs.
Le logiciel OSSEC peut être installé surles fenêtres,Linux,Unix, ouMacOS. Il surveilleJournaux d'événements Windowset aussi le registre. Il gardera le compte root surLinux,Unix, etMacOS. L'assistance est disponible gratuitement auprès de la communauté d'utilisateurs active, ou vous pouvez payer Trend Micro pour un package d'assistance professionnelle.
Avantages:
- Peut être utilisé sur une large gamme de systèmes d'exploitation, Linux, Windows, Unix et Mac
- Peut fonctionner comme une combinaison SIEM et HIDS
- Facile à personnaliser et très visuel
- Les modèles créés par la communauté permettent aux administrateurs de démarrer rapidement
Les inconvénients:
- Nécessite des outils secondaires comme Graylog et Kibana pour une analyse plus approfondie
- La version open source manque de support payant
5. Sagan
Sagan est unHIDS gratuitsqui s'installe surUnix,Linux, etMacOS. Il est capable de collecterJournal des événements Windowsmessages, même s’il ne fonctionne pas sous Windows. Vous pouvez distribuer le traitement de Sagan pour réduire la surcharge du processeur de votre serveur de journaux. Le système utiliseméthodes de détection basées sur les anomalies et les signatures.
Principales caractéristiques:
- Utilisation gratuite
- Basé sur les anomalies et les signatures
- Règles de réponse automatisées
Vous pouvez définir des actions qui se produiront automatiquement lorsqu'une intrusion est détectée. L’outil possède quelques fonctionnalités uniques qui manquent à certains des HIDS les plus importants. Ceux-ci inclusun outil de géolocalisation IPcela vous permettra de déclencher des alertes lorsque les activités de différentes adresses IP sont attribuées à la même source géographique. L'outil vous permet également de définirrègles temporelles pour déclencher des alertes. Le système a été écrit pour être compatible avecRenifler, qui est un système de détection de réseau, offrant des capacités à Saga NIDS lorsqu'il est combiné à un collecteur de données réseau. Sagan comprendune fonction d'exécution de scriptcela en fait un IPS.
Avantages:
- Outil d'analyse de journaux gratuit
- Est compatible avec d'autres outils open source comme Zeek et Snort
- Comprend un localisateur d'adresses IP qui peut donner des informations géopolitiques sur les adresses
Les inconvénients:
- Impossible d'installer les systèmes d'exploitation Windows
- Est plus un outil HIDS qu’un IDS traditionnel
- A une courbe d'apprentissage assez pointue pour les nouveaux utilisateurs
6. Splunk
Splunk propose à la fois des fonctionnalités HIDS et NIDS. Le package de base de cet outil estutilisation gratuiteet il n’inclut aucune alerte de données basées sur le réseau, il s’agit donc d’un pur HIDS. Si vous cherchezun HIDS basé sur les anomalies, c'est une très bonne option. La meilleure édition de Splunk s'appelleSplunk Entrepriseet il existe une version Software-as-a-Service (SaaS), appeléeNuage Splunk. Entre la version gratuite et l'édition Enterprise se situeLumière Splunk, qui présente certaines limitations de service. Il existe également une version en ligne de Splunk Light, appeléeNuage de lumière Splunk.
Principales caractéristiques:
- Outil d'analyse de données
- Module complémentaire SIEM
- Sur site ou dans le cloud
Splunk dispose de fonctionnalités d'automatisation des flux de travail qui en font un système de prévention des intrusions. Ce module est appelé leCadre d’opérations adaptativeset il relie des scripts automatisés pour déclencher des alertes. L'automatisation des solutions aux problèmes détectés n'est disponible qu'avec les options les mieux payées de Splunk.
Le tableau de bord de Splunk est très attrayant avec des visualisations de données telles que des graphiques linéaires et des diagrammes circulaires. Le système comprendun analyseur de donnéesdans toutes les éditions de Splunk. Cela vous permet d'afficher les enregistrements, de les résumer, de les trier et de les rechercher, et de les représenter sous forme de graphiques.
Avantages:
- Peut utiliser l'analyse du comportement pour détecter les menaces qui ne sont pas découvertes via les journaux
- Excellente interface utilisateur – hautement visuelle avec des options de personnalisation simples
- Priorisation facile des événements
- Axé sur l'entreprise
- Disponible pour Linux et Windows
Les inconvénients:
- Doit contacter le service commercial pour connaître les prix
- Plus adapté aux grandes entreprises, coût prohibitif pour les petites entreprises
- Utilise un langage de traitement de recherche (SPL) personnalisé pour les requêtes, ce qui accentue la courbe d'apprentissage
Tous les niveaux de Splunk fonctionnent sous Windows, Linux et macOS. Tu peux recevoir un essai gratuit de 30 jours de Splunk Light, un essai gratuit de 60 jours de Splunk Enterprise, et un essai gratuit de 15 jours de Splunk Cloud.
Sélection d'un HIDS
Il existe tellement d'outils de gestion de journaux dotés de capacités d'analyse disponibles sur le marché que vous pourriez passer très longtemps à évaluer toutes vos options HIDS. Avec la liste de ce guide,vous avez maintenant fait une grande partie des rechercheset l'étape suivante consiste à se concentrer sur les outils qui s'exécutent sur le système d'exploitation de votre serveur. Si vous souhaitez utiliser des services basés sur le Cloud, Papertrail et Splunk Cloud devraient vous intéresser le plus.
Heureusement, tous les outils de notre liste sont soit gratuits, soit disponibles suressais gratuits, vous pouvez donc installer quelques candidats pour les mettre à l'épreuve sans aucun risque financier.
Exploitez-vous actuellement un HIDS ? Pour quel système avez-vous opté ? Pensez-vous qu'il est important de payer pour un outil ou êtes-vous satisfait d'utiliser un utilitaire gratuit ? Laissez un message dans lecommentairesci-dessous et partagez vos expériences avec la communauté.
FAQ sur les IDS basés sur l'hôte
Quel est le but de la surveillance de l’intégrité des fichiers ?
La surveillance de l'intégrité des fichiers concerne les modifications non autorisées apportées aux fichiers système importants. Si un fichier est modifié via un processus valide ou par un utilisateur autorisé, le FIM mettra à jour ses enregistrements de validité pour ce fichier – qui est généralement une somme de contrôle. Si un fichier a été modifié sans autorisation, la FIM restaurera sa version originale à partir d'une sauvegarde.
Quel est l’avantage d’un IDS basé sur l’hôte ?
Un IDS basé sur l'hôte conserve des enregistrements de tous les événements et conserve ces enregistrements pour un examen ultérieur. Alors que les systèmes de sécurité traditionnels considèrent le blocage des intrusions comme leur seule tâche, HIDS ajoute à ses responsabilités la possibilité d'identifier toutes les actions effectuées par un intrus. L’existence de registres d’activités permet de réparer les dégâts et de faire face à d’éventuelles fuites de données.
Image: Sécurité informatique depuis Pixabay . Domaine public .