Administrateur Réseau

Systèmes de détection d'intrusion expliqués : 14 meilleurs outils logiciels IDS examinés

Outils de détection d



Qu'est-ce qu'un système de détection d'intrusion (IDS) ?

UnSystème de détection d'intrusion(ID) surveille le trafic réseau à la recherche d'activités inhabituelles ou suspectes et envoie une alerte à l'administrateur. La détection d'une activité anormale et son signalement à l'administrateur réseau constituent la fonction principale ; cependant, certains logiciels IDS peuvent agir en fonction de règles lorsqu'une activité malveillante est détectée, par exemple en bloquant certains trafics entrants.

Voici notre liste des meilleurs logiciels et outils de système de détection d’intrusion :

  1. SolarWinds Security Event Manager CHOIX DE L'ÉDITEURAnalyse les journaux des systèmes Windows, Unix, Linux et Mac OS. Il gère les données collectées par Snort, y compris les données en temps réel. SEM est également un système de prévention des intrusions, livré avec plus de 700 règles pour arrêter les activités malveillantes. Un outil essentiel pour améliorer la sécurité, répondre aux événements et assurer la conformité.
  2. Grève de foule Faucon (ESSAI GRATUIT) Une plate-forme de protection des points de terminaison basée sur le cloud qui inclut la recherche des menaces.
  3. Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un analyseur de fichiers journaux qui recherche des preuves d'intrusion.
  4. ManageEngine Log360 (ESSAI GRATUIT) Ce package SIEM utilise UEBA pour établir une base de référence d'activité normale, puis recherche les écarts par rapport à cette norme. Fonctionne sur Windows Server.
  5. ReniflerFourni par Cisco Systems et gratuit, le principal logiciel de système de détection d'intrusion basé sur le réseau.
  6. OSSECExcellent système de détection d’intrusion basé sur l’hôte et dont l’utilisation est gratuite.
  7. BlancheLogiciel de système de détection d'intrusion basé sur le réseau qui fonctionne au niveau de la couche application pour une plus grande visibilité.
  8. êtreMoniteur réseau et système de prévention des intrusions basé sur le réseau.
  9. SaganOutil d'analyse de logs pouvant intégrer des rapports générés sur les données snort, c'est donc un HIDS avec un peu de NIDS.
  10. Oignon de sécuritéOutil de surveillance et de sécurité du réseau composé d'éléments extraits d'autres outils gratuits.
  11. AIDEL'environnement avancé de détection d'intrusion est un HIDS pour Unix, Linux et Mac OS
  12. OpenWIPS-NGNIDS sans fil et système de prévention des intrusions des fabricants d'Aircrack-NG.
  13. SamhainSystème simple de détection d'intrusion basé sur l'hôte pour Unix, Linux et Mac OS.
  14. Échec2BanSystème logiciel léger de détection d'intrusion basé sur l'hôte pour Unix, Linux et Mac OS.

Types de systèmes de détection d'intrusion

Il existe deux principaux types de systèmes de détection d'intrusion (tous deux sont expliqués plus en détail plus loin dans ce guide) :



  1. Système de détection d'intrusion basé sur l'hôte (HIDS)– ce système examinera les événements sur un ordinateur de votre réseau plutôt que le trafic qui circule dans le système.
  2. Système de détection d'intrusion basé sur le réseau (NIDS)– ce système examinera le trafic sur votre réseau.

Les logiciels et systèmes de détection d’intrusion réseau sont désormais essentiels à la sécurité des réseaux. Heureusement, ces systèmes sont très faciles à utiliser et la plupart des meilleurs IDS du marché sont gratuits . Dans cette revue, vous découvrirez les dix meilleurs logiciels de système de détection d'intrusion que vous pouvez installer dès maintenant pour commencer à protéger votre réseau contre les attaques. Nous couvrons les outils pour Windows, Linux et Mac.

Systèmes de détection d'intrusion basés sur l'hôte (HIDS)

Systèmes de détection d'intrusion basés sur l'hôte, aussi connu sous le nomsystèmes de détection d'intrusion hôtesouIDS basé sur l'hôte, examinez les événements sur un ordinateur de votre réseau plutôt que le trafic qui circule dans le système. Ce type de système de détection d'intrusion est abrégé en CACHÉS et il fonctionne principalement en examinant les données des fichiers d'administration de l'ordinateur qu'il protège. Ces fichiers incluent des fichiers journaux et des fichiers de configuration.



Un HIDS sauvegardera vos fichiers de configuration afin que vous puissiez restaurer les paramètres si un virus malveillant affaiblissait la sécurité de votre système en modifiant la configuration de l'ordinateur. Un autre élément critique contre lequel vous souhaitez vous prémunir est l'accès root sur les plates-formes de type Unix ou les modifications du registre sur les systèmes Windows. Un HIDS ne pourra pas bloquer ces modifications, mais il devrait pouvoir vous alerter si un tel accès se produit. .

Chaque hôte sur lequel les moniteurs HIDS doivent avoir un logiciel installé. Vous pouvez simplement demander à votre HIDS de surveiller un ordinateur. Cependant, il est plus courant d'installer le HIDS sur chaque appareil de votre réseau . En effet, vous ne voulez pas négliger les changements de configuration sur aucun équipement. Naturellement, si vous disposez de plusieurs hôtes HIDS sur votre réseau, vous ne souhaitez pas avoir à vous connecter à chacun d’eux pour obtenir des commentaires. Donc, un système HIDS distribué doit inclure un module de contrôle centralisé . Recherchez un système qui crypte les communications entre les agents hôtes et le moniteur central.

Voir également: Les meilleurs HIDS

Systèmes de détection d'intrusion basés sur le réseau (NIDS)

La détection d'intrusion basée sur le réseau, également connue sous le nom de système de détection d'intrusion réseau ou IDS réseau, examine le trafic sur votre réseau. En tant que tel, un typique NIDS doit inclure un renifleur de paquets pour collecter le trafic réseau à des fins d'analyse.

Le moteur d'analyse d'un NIDS est généralement basé sur des règles et peut être modifié en ajoutant vos propres règles. Avec de nombreux NIDS, le fournisseur du système, ou la communauté des utilisateurs, mettra à votre disposition des règles et vous pourrez simplement les importer dans votre implémentation. Une fois que vous serez familiarisé avec la syntaxe des règles du NIDS que vous avez choisi, vous pourrez créer vos propres règles.

En revenant à la collecte du trafic, vous ne voulez pas vider tout votre trafic dans des fichiers ou tout exécuter via un tableau de bord parce que vous ne seriez tout simplement pas en mesure d’analyser toutes ces données. Ainsi, les règles qui pilotent l’analyse dans un NIDS créent également une capture sélective des données. Par exemple, si vous avez une règle pour un type de trafic HTTP inquiétant, votre NIDS ne doit récupérer et stocker que les paquets HTTP qui affichent ces caractéristiques.

En règle générale, un NIDS est installé sur un élément matériel dédié. Les solutions d'entreprise payantes haut de gamme sont fournies sous forme de kit réseau sur lequel le logiciel est préchargé. Cependant, vous n'avez pas à débourser beaucoup d'argent pour du matériel spécialisé . Un NIDS nécessite un module de capteur pour capter le trafic, vous pourrez donc peut-être le charger sur un analyseur LAN, ou vous pouvez choisir d'allouer un ordinateur pour exécuter la tâche. Cependant, assurez-vous que l'équipement que vous choisissez pour la tâche a une vitesse d'horloge suffisante pour ne pas ralentir votre réseau.

Article similaire: Meilleur logiciel NIDS

HIDS ou NIDS ?

NIDS contre HIDS

La réponse courte est les deux. Un NIDS vous donnera beaucoup plus de puissance de surveillance qu’un HIDS. Vous pouvez intercepter les attaques au fur et à mesure qu'elles se produisent avec un NIDS. En revanche, un HIDS ne remarque que quelque chose ne va pas lorsqu'un fichier ou un paramètre sur un appareil a déjà été modifié. Cependant, ce n’est pas parce que les HIDS n’ont pas autant d’activité que les NIDS qu’ils sont moins importants.

Le fait que le NIDS soit généralement installé sur un équipement autonome signifie qu’il ne ralentit pas les processeurs de vos serveurs. Cependant, l'activité du HIDS n'est pas aussi agressive que celle du NIDS . Une fonction HIDS peut être remplie par un démon léger sur l’ordinateur et ne devrait pas consommer trop de CPU. Aucun des deux systèmes ne génère de trafic réseau supplémentaire.

Méthodes de détection : IDS basé sur des signatures ou basé sur des anomalies

Que vous recherchiez un système de détection d'intrusion sur l'hôte ou un système de détection d'intrusion sur le réseau, tous les IDS utilisent deux modes de fonctionnement : certains n'utilisent que l'un ou l'autre, mais la plupart utilisent les deux.

  • IDS basés sur les signatures
  • IDS basé sur les anomalies

IDS basés sur les signatures

Le méthode basée sur les signatures examine les sommes de contrôle et l'authentification des messages.Méthodes de détection basées sur les signaturespeut être appliqué aussi bien par NIDS que par HIDS. Un HIDS examinera les fichiers journaux et de configuration pour détecter toute réécriture inattendue, tandis qu'un NIDS examinera les sommes de contrôle des paquets capturés et l'intégrité de l'authentification des messages de systèmes tels que SHA1.

Le NIDS peut inclure une base de données de signatures que portent les paquets connus pour être des sources d'activités malveillantes. Heureusement, les pirates ne restent pas assis devant leur ordinateur à taper avec fureur pour déchiffrer un mot de passe ou accéder à l’utilisateur root. Au lieu de cela, ils utilisent des procédures automatisées fournies par des outils de piratage bien connus. Ces outils ont tendance à générer les mêmes signatures de trafic à chaque fois, car les programmes informatiques répètent les mêmes instructions encore et encore plutôt que d'introduire des variations aléatoires.

IDS basé sur les anomalies

Détection basée sur les anomalies recherche des schémas d’activités inattendus ou inhabituels. Cette catégorie peut également être mise en œuvre par les systèmes de détection d'intrusion basés sur l'hôte et sur le réseau. Dans le cas de HIDS, une anomalie peut être due à des tentatives de connexion infructueuses et répétées. ou une activité inhabituelle sur les ports d'un périphérique qui signifie une analyse de port.

Dans le cas du NIDS, l’approche par anomalie nécessite d’établir une base de référence de comportement pour créer une situation standard à laquelle les modèles de trafic en cours peuvent être comparés. Une gamme de modèles de trafic est considérée comme acceptable, et lorsque le trafic en temps réel actuel sort de cette plage, une alerte d'anomalie est déclenchée.

Choisir une méthode IDS

Les NIDS sophistiqués peuvent constituer un enregistrement de comportement standard et ajuster leurs limites au fur et à mesure de leur durée de vie. Dans l’ensemble, l’analyse des signatures et des anomalies est beaucoup plus simple à utiliser et plus facile à configurer avec le logiciel HIDS qu’avec NIDS.

Les méthodes basées sur les signatures sont beaucoup plus rapides que la détection basée sur les anomalies. Un moteur d'anomalies entièrement complet aborde les méthodologies de l'IA et son développement peut coûter très cher. Cependant, les méthodes basées sur les signatures se résument à la comparaison de valeurs. En effet, dans le cas de HIDS, la correspondance de modèles avec les versions de fichiers peut être une tâche très simple que n'importe qui peut effectuer lui-même à l'aide d'utilitaires de ligne de commande avec des expressions régulières. Ils coûtent donc moins cher à développer et sont plus susceptibles d’être mis en œuvre dans des systèmes de détection d’intrusion gratuits.

Un système complet de détection des intrusions nécessite à la fois des méthodes basées sur les signatures et des procédures basées sur les anomalies.

Défendre le réseau avec un IPS

Nous devons maintenant considérer systèmes de prévention des intrusions (IPS) . Les logiciels IPS et IDS sont des branches de la même technologie car il ne peut y avoir de prévention sans détection. Une autre façon d’exprimer la différence entre ces deux branches d’outils d’intrusion est de les appeler passifs ou actifs. Un système simple de surveillance et d'alerte contre les intrusions est parfois appelé système IDS « passif » . Un système qui non seulement détecte une intrusion, mais prend également des mesures pour remédier à tout dommage et bloquer toute tentative d'intrusion ultérieure à partir d'une source détectée, est également connu sous le nom de système. IDS « réactif » .

IDS réactifs, ou Les IPS ne mettent généralement pas en œuvre les solutions directement . Au lieu de cela, ils interagissent avec les pare-feu et les applications logicielles en ajustant les paramètres. Un HIDS réactif peut interagir avec un certain nombre d'aides réseau pour restaurer les paramètres d'un appareil, tels que SNMP ou un gestionnaire de configuration installé. Les attaques contre l'utilisateur root, ou l'utilisateur administrateur sous Windows, ne sont généralement pas traitées automatiquement, car le blocage d'un utilisateur administrateur ou la modification du mot de passe du système entraînerait le verrouillage de l'administrateur système hors du réseau et des serveurs.

De nombreux utilisateurs d'IDS signalent un flot de faux positifs lorsqu'ils installent pour la première fois leurs systèmes de défense, tout comme les IPS mettent automatiquement en œuvre une stratégie de défense dès la détection d'une condition d'alerte. Des IPS mal calibrés peuvent causer des ravages et paralyser votre activité réseau légitime.

Pour minimiser les perturbations du réseau pouvant être causées par de fausses alarmes, vous devez introduire votre système de détection et de prévention des intrusions par étapes. Les déclencheurs peuvent être personnalisés et vous pouvez combiner des conditions d'avertissement pour créer des alertes personnalisées. L'énoncé des actions qui doivent être effectuées lors de la détection de menaces potentielles est appelé un politique . L’interaction des procédures de détection et de prévention des intrusions avec les pare-feu doit être particulièrement affinée pour éviter que les véritables utilisateurs de votre entreprise ne soient exclus par des politiques trop strictes.

Systèmes de détection d'intrusion par type et système d'exploitation

Les producteurs de logiciels IDS se concentrent sur les systèmes d'exploitation de type Unix. Certains produisent leur code selon le standard POSIX. Dans tous ces cas, cela signifie que Windows est exclu. Comme les systèmes d'exploitation Mac OS de Mac OS X et macOS sont basés sur Unix , ces systèmes d'exploitation sont bien mieux pris en charge dans le monde IDS que dans les autres catégories de logiciels. Le tableau ci-dessous explique quels IDS sont basés sur l'hôte, lesquels sont basés sur le réseau et sur quels systèmes d'exploitation chacun peut être installé.

Vous pouvez lire certaines critiques affirmant que Security Onion peut être exécuté sous Windows. C’est possible si vous installez d’abord une machine virtuelle et que vous l’exécutez via celle-ci. Cependant, pour les définitions de ce tableau, nous ne comptons comme étant compatible avec un système d'exploitation qu'un logiciel pouvant être installé directement.

Meilleurs logiciels et outils de détection d'intrusion

Gestionnaire d’événements de sécurité SolarWindsLE CHOIX DES ÉDITEURSLes deuxNonNonOuiNon
Faucon CrowdStrike(ESSAI GRATUIT)CACHÉSOuiOuiOuiOui
ReniflerNIDSOuiOuiOuiNon
OSSECCACHÉSOuiOuiOuiOui
Analyseur de journaux d'événements ManageEngineCACHÉSOuiOuiOuiOui
BlancheNIDSOuiOuiOuiOui
êtreNIDSOuiOuiNonOui
SaganLes deuxOuiOuiNonOui
Oignon de sécuritéLes deuxNonOuiNonNon
AIDECACHÉSOuiOuiNonOui
Ouvrir WIPS-NGNIDSNonOuiNonNon
SamhainCACHÉSOuiOuiNonOui
Échec2BanCACHÉSOuiOuiNonOui

Systèmes de détection d'intrusion pour Unix

Pour reformuler les informations du tableau ci-dessus dans une liste spécifique à Unix, voici les HIDS et NIDS que vous pouvez utiliser sur la plate-forme Unix.

Systèmes de détection d'intrusion hébergés :

  • Faucon CrowdStrike
  • Analyseur de journaux d'événements
  • OSSEC
  • Sagan
  • AIDE
  • Samhain
  • Échec2Ban

Systèmes de détection d'intrusion réseau :

  • Renifler
  • être
  • Blanche
  • Sagan

Systèmes de détection d'intrusion pour Linux

Voici des listes des systèmes de détection d'intrusion hôte et des systèmes d'intrusion réseau que vous pouvez exécuter sur la plate-forme Linux.

Systèmes de détection d'intrusion hébergés :

  • Faucon CrowdStrike
  • Analyseur de journaux d'événements
  • OSSEC
  • Sagan
  • Oignon de sécurité
  • AIDE
  • Samhain
  • Échec2Ban

Systèmes de détection d'intrusion réseau :

  • Renifler
  • être
  • Blanche
  • Sagan
  • Oignon de sécurité
  • Ouvrir WIPS-NG

Systèmes de détection d'intrusion pour Windows

Malgré la popularité de Windows Server, les développeurs de systèmes de détection d’intrusion ne semblent pas très intéressés par la production de logiciels pour le système d’exploitation Windows. Voici les quelques IDS qui fonctionnent sous Windows.

Systèmes de détection d'intrusion hébergés :

  • Gestionnaire d’événements de sécurité SolarWinds
  • Analyseur de journaux d'événements
  • OSSEC

Systèmes de détection d'intrusion réseau :

  • Gestionnaire d’événements de sécurité SolarWinds
  • Renifler
  • Blanche

Systèmes de détection d'intrusion pour Mac OS

Les propriétaires de Mac bénéficient du fait que Mac OS X et macOS sont tous deux basés sur Unix et qu'il existe donc beaucoup plus d'options de système de détection d'intrusion pour les propriétaires de Mac que pour ceux qui possèdent des ordinateurs exécutant le système d'exploitation Windows.

Systèmes de détection d'intrusion hébergés :

  • Faucon CrowdStrike
  • Analyseur de journaux d'événements
  • OSSEC
  • Sagan
  • AIDE
  • Samhain
  • Échec2Ban

Systèmes de détection d'intrusion réseau :

  • être
  • Blanche
  • Sagan

Les meilleurs logiciels et outils de systèmes de détection d'intrusion

Notre méthodologie de sélection des logiciels de système de détection d'intrusion

Nous avons examiné le marché des outils IDS et analysé les options en fonction des critères suivants :

  • Un service compétent de collecte et de gestion des logs
  • Un système d'analyse de journaux avec des outils pré-écrits pour la détection des intrus
  • Un moniteur réseau en direct qui recherche toute activité anormale
  • Fonctionnalités de chasse aux menaces qui alertent lorsqu'une activité suspecte est détectée
  • Processus de tri qui concentrent le traitement de détection sur des combinaisons bien connues d’actions d’intrus
  • Un essai gratuit ou une garantie de remboursement pour une évaluation sans risque
  • Rapport qualité/prix représenté par un bon prix pour les outils fournis

Maintenant que vous avez vu un aperçu rapide des systèmes de détection d'intrusion basés sur l'hôte et des systèmes de détection d'intrusion basés sur le réseau par système d'exploitation, dans cette liste, nous approfondissons les détails de chacun des meilleurs IDS.

1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)

Capture d

Le gestionnaire d'événements de sécurité SolarWinds(LEQUEL) fonctionne sur Serveur Windows , mais il peut enregistrer les messages générés par Unix , Linux , et MacOS des ordinateurs ainsi que les fenêtres PC.

En tant que gestionnaire de journaux, il s'agit d'un système de détection d'intrusion basé sur l'hôte car il s'occupe de la gestion des fichiers sur le système. Cependant, cela aussi gère les données collectées par Snort , ce qui l'intègre à un système de détection d'intrusion basé sur le réseau.

Principales caractéristiques:

  • Analyse les fichiers journaux
  • Peut traiter des données en direct
  • Compatible avec Snort
  • Correction automatique

Snort est un renifleur de paquets largement utilisé créé par Cisco Systems (voir ci-dessous). Il dispose d'un format de données spécifique, que d'autres producteurs d'outils IDS intègrent dans leurs produits. C'est le cas du gestionnaire d'événements de sécurité SolarWinds. Détection d'intrusion réseau les systèmes examinent les données de trafic au fur et à mesure qu’elles circulent sur le réseau. Pour déployer les fonctionnalités NIDS de Security Event Manager, vous devez utiliser Snort comme outil de capture de paquets et acheminez les données capturées vers Security Event Manager pour analyse. Bien que LEM agisse comme un outil HIDS lorsqu'il gère la création et l'intégrité des fichiers journaux, il est capable de recevoir des données réseau en temps réel via Snort, qui est une activité NIDS.

Le produit SolarWinds peut également agir comme un système de prévention des intrusions car il peut déclencher des actions lors de la détection d'une intrusion. Le package est livré avec plus de 700 règles de corrélation d'événements, ce qui lui permet de détecter les activités suspectes et de mettre automatiquement en œuvre des activités correctives. Ces actions sont appelées Réponses actives .

Ces réponses actives incluent :

  • Alertes d'incident via SNMP, messages d'écran ou e-mail
  • Isolation des périphériques USB
  • Suspension du compte utilisateur ou expulsion de l'utilisateur
  • Blocage d'adresse IP
  • Processus tuant
  • Arrêt ou redémarrage du système
  • Arrêt du service
  • Déclenchement des services

Les capacités de traitement des messages Snort de Security Event Manager en font un outil très complet. sécurité Internet moniteur. Activité malveillante peut être arrêté presque instantanément grâce à la capacité de l’outil à combiner les données Snort avec d’autres événements sur le système. Le risque de perturbation du service par la détection de faux positifs est considérablement réduit grâce aux règles de corrélation d'événements finement réglées.

Avantages:

  • Conçu pour les entreprises, peut surveiller les systèmes d'exploitation Windows, Linux, Unix et Mac
  • Prend en charge des outils tels que Snort, permettant à SEM de faire partie d'une stratégie NIDS plus large
  • Plus de 700 alertes préconfigurées, règles de corrélation et modèles de détection fournissent des informations instantanées lors de l'installation
  • Les règles de réponse aux menaces sont faciles à créer et utilisent des rapports intelligents pour réduire les faux positifs.
  • Les fonctionnalités intégrées de reporting et de tableau de bord contribuent à réduire le nombre d'outils auxiliaires dont vous avez besoin pour votre IDS.

Les inconvénients:

  • Densité de fonctionnalités – nécessite du temps pour explorer pleinement toutes les fonctionnalités

Vous pouvez y accéder sécurité Internet système sur un30 jours d'essai gratuit.

LE CHOIX DES ÉDITEURS

Gestionnaire d'événements de sécuritéest un outil essentiel pour améliorer la sécurité, répondre aux événements et assurer la conformité. Idéal pour collecter, consolider et visualiser les événements du journal, y compris la détection des menaces en temps réel et la reconnaissance des formes. Il peut répondre automatiquement aux activités suspectes sur le réseau, même au niveau de l'appareil et de l'utilisateur.

Obtenez un essai gratuit de 30 jours :solarwinds.com/security-event-manager

TOI:Microsoft Hyper-V Server 2016, 2012 R2 ou 2012

2. CrowdStrike Falcon (ESSAI GRATUIT)

Inventaire des applications CrowdStrike Falcon

Le Faucon CrowdStrike le système est une plateforme de protection des points finaux (EPP) . C'est un HIDS car il surveille l'activité sur les points de terminaison individuels plutôt que l'activité du réseau. Cependant, contrairement à un HIDS classique, le système ne se concentre pas sur les fichiers journaux des appareils surveillés mais examine les processus en cours d'exécution sur chaque ordinateur, ce qui est généralement une stratégie NIDS.

Principales caractéristiques:

  • Plateforme de protection des terminaux
  • Examine les fichiers journaux
  • Traite les données dans le cloud
  • Console basée sur le cloud

La plateforme Falcon est un ensemble de modules. La fonctionnalité HIDS est fournie par le Aperçu du faucon unité. C'est un détection et réponse des points finaux (EDR) système. Le module de base de l'EPP s'appelle Faucon Empêcher , qui est un système AV de nouvelle génération. Cela utilise également Méthodologies HIDS pour détecter les comportements malveillants. La différence entre les méthodes de ces deux modules est légère car les deux méthodes surveillent les comportements anormaux. Cependant, la particularité de Falcon Prevent est qu'il recherche des logiciels malveillants, tandis que Falcon Insight recherche spécifiquement des intrusions.

Falcon Insight enregistre les événements sur un ordinateur protégé, qui doivent être stockés dans un fichier journal, de sorte que l'élément de recherche et de détection de l'outil utilise uniquement Stratégies HIDS une fois ces événements écrits. L'élément de collecte d'événements de l'EPP est un agent qui doit être installé sur l'appareil protégé. L'agent communique avec le système de traitement central de l'EPP, qui réside dans le cloud. L'administrateur humain des points de terminaison protégés accède au tableau de bord Falcon via n'importe quel navigateur standard.

L'avantage du architecture hybride sur site/cloud L'un des avantages du logiciel CrowdStrike Falcon est que le système est très léger sur votre équipement. Toute la puissance de traitement pour l'analyse des menaces est fournie avec le logiciel d'analyse sur les serveurs CrowdStrike. Cela signifie que l’installation de ce service de sécurité ne ralentira pas les ordinateurs, les laissant libres d’effectuer les tâches pour lesquelles ils ont été fournis. Cependant, l’agent agit également en tant que responsable de la mise en œuvre de la résolution des menaces, de sorte qu’il continue de fonctionner même si la connexion Internet devient indisponible.

Avantages:

  • Ne s'appuie pas uniquement sur les fichiers journaux pour détecter les menaces, utilise l'analyse des processus pour détecter immédiatement les menaces.
  • Agit comme un outil HIDS et de protection des points finaux tout en un
  • Peut suivre et alerter un comportement anormal au fil du temps, s'améliore plus il surveille le réseau
  • Peut être installé sur site ou directement dans une architecture basée sur le cloud
  • Les agents légers ne ralentiront pas les serveurs ou les appareils des utilisateurs finaux

Les inconvénients:

  • Bénéficierait d’une période d’essai plus longue

CrowdStrike Falcon est disponible en quatre éditions : Pro, Enterprise, Premium et Complete. Falcon Insight est inclus avec les éditions Premium et Enterprise. L'édition complète est un service géré, personnalisé par négociation. CrowdStrike propose unEssai gratuit de 15 joursdu PPE Falcon.

CrowdStrike Falcon Commencez un essai GRATUIT de 15 jours

3. Analyseur ManageEngine EventLog (ESSAI GRATUIT)

Analyseur de journaux d

Gérer le moteurest l'un des principaux producteurs de solutions de surveillance et de gestion des infrastructures de réseaux informatiques.Analyseur de journaux d'événementsfait partie des produits de sécurité de l’entreprise. C'est un CACHÉS qui se concentre sur la gestion et l’analyse des fichiers journaux générés par les applications et systèmes d’exploitation standard. L'outil s'installe sur Serveur Windows ou Linux . Il rassemble des données de ces systèmes d'exploitation ainsi que de MacOS , IBM-AIX , HPUX , et Solaris systèmes. Les journaux des systèmes Windows incluent les sources de Windows Server Windows Vista et supérieur et du serveur DHCP Windows.

Principales caractéristiques:

  • Gère et analyse les fichiers journaux
  • Audit de conformité aux normes de protection des données

Outre les systèmes d'exploitation, le service collecte et consolide les journaux de Microsoft SQL Server et Oracle bases de données. Il est également capable de canaliser les alertes d'un certain nombre de systèmes antivirus, notamment Anti-malware Microsoft , CAS , Sophos , Norton , Kaspersky , Oeil de feu , Malwarebytes , McAfee , et Symantec . Il rassemblera les journaux des serveurs Web, des pare-feu, des hyperviseurs, des routeurs, des commutateurs et scanners de vulnérabilité réseau .

EventLog Analyzer rassemble les messages de journal et fonctionne comme un serveur de fichiers journaux, organisant les messages en fichiers et répertoires par source et date de message. Les avertissements urgents sont également transmis au tableau de bord EventLog Analyzer et peuvent être transmis à Systèmes de service d'assistance comme tickets pour provoquer l'attention immédiate des techniciens. La décision quant aux événements qui constituent une faille de sécurité potentielle est motivée par un module de renseignement sur les menaces qui est intégré au package.

Le service comprend des recherches automatiques de journaux et une corrélation d'événements pour compiler des rapports de sécurité réguliers. Parmi ces rapports figurent un format pour la surveillance et l'audit des utilisateurs privilégiés (PUMA) et une variété de formats nécessaires pour démontrer la conformité aux PCI DSS , FISMA , OIN 27001 , GLBA , HIPAA , SOX , et RGPD .

Avantages:

  • Peut s'installer sur Windows ou Linux, donnant plus de flexibilité à l'administrateur système
  • Prend en charge le transfert d'alertes des principales marques d'antivirus telles que ESET, Malwarebytes et Norton.
  • Prend en charge des dizaines de commutateurs matériels, routeurs, pare-feu et points d'accès de marques différentes
  • Peut surveiller les autorisations des utilisateurs pour les normes de conformité telles que HIPAA, PCI et FISMA

Les inconvénients:

  • Plateforme hautement détaillée, idéale pour les grands réseaux et les grandes entreprises

L'analyseur ManageEngine EventLog est disponible en trois éditions. Le premier d'entre eux est Gratuit . Cependant, l’édition gratuite se limite à la surveillance des messages de journaux provenant de cinq sources, ce qui n’est pas vraiment suffisant pour les entreprises modernes au-delà des très petites entreprises. Les deux éditions payantes sont Prime et Distribué . Le forfait Distribué est nettement plus cher que le forfait Premium. Le système Premium devrait être suffisant pour la plupart des entreprises disposant d'un seul site, tandis que la version distribuée couvrira plusieurs sites et un nombre illimité de sources d'enregistrement de journaux. Vous pouvez essayer le système avec un30 jours d'essai gratuitqui a une limite de 2 000 sources de messages de journal.

ManageEngine EventLog Analyzer Téléchargez un essai GRATUIT de 30 jours

4. ManageEngine Log360 (ESSAI GRATUIT)

Tableau de bord ManageEngine Log360
Gérer le moteur Log360est un système SIEM. Bien que les SIEM incluent généralement à la fois HIDS et NIDS, Log360 est très fortement un système de détection d'intrusion basé sur l'hôte car il est basé sur un gestionnaire de journaux et n’inclut pas de flux d’activité réseau comme source de données. Le progiciel Log360 fonctionne sur Serveur Windows mais est capable de collecter les messages de journal d'autres systèmes d'exploitation.

Le colis collecte Événements Windows et Journal système messages des systèmes d'exploitation et interagit également avec plus de 700 systèmes logiciels pour collecter des journaux. Lorsque ces fichiers journaux arrivent sur un serveur central, leurs formats sont standardisés, afin qu'ils puissent être recherchés et classés ensemble.

La console pour Log360 comprend un visualiseur de données qui offre des outils d'analyse pour les recherches et l'évaluation manuelles. Les enregistrements peuvent également être lus à partir de fichiers. Le système effectue également des recherches automatisées pour sa chasse aux menaces SIEM.

Principales caractéristiques:

  • Collecte et consolidation des journaux
  • Détection des menaces
  • Journaux d'événements Windows, Syslog et logiciels

Le SIEM utilise l'apprentissage automatique pour établir un modèle d'activité pour chaque compte utilisateur et appareil. C'est ce qu'on appelle analyse du comportement des utilisateurs et des entités (UEBA). Le système recherche ensuite les activités qui ne correspondent pas à ce modèle. Lorsqu'une activité suspecte est détectée, Log360 génère une alerte . Vous pouvez ajuster les seuils de notifications.

Le système affiche des alertes dans la console et vous pouvez également le configurer pour transférer les notifications comme des billets via ManageEngine ServiceDesk Plus, Jira et Kayoko.

Log360 est un outil utile pour la conformité au RGPD, GLBA, PCI DSS, FISMA, HIPAA et SOX. Le système de gestion des journaux classe les messages de journal dans une structure facile à récupérer, ce qui le rend adapté aux audit de conformité .

Avantages:

  • Gestion des journaux pour la conformité aux normes
  • Chasse aux menaces basée sur les anomalies
  • Notifications via les systèmes de centre de services

Les inconvénients:

  • Non proposé en tant que service cloud

Il existe deux versions de ManageEngine Log360 : Gratuit et Professionnel . L'édition gratuite est limitée à la surveillance de 25 points de terminaison. L'édition Professionnelle est disponible pour un30 jours d'essai gratuit.

ManageEngine Log360 Commencez un essai GRATUIT de 30 jours

5. Renifler

Capture d

Sniff est le leader de l'industrie en matière de NIDS, mais son utilisation reste gratuite . C’est l’un des rares IDS pouvant être installé sur Windows. Il a été créé par Cisco. Le système peut fonctionner selon trois modes différents et peut mettre en œuvre des stratégies de défense. Il s'agit donc d'un système de prévention des intrusions ainsi que d'un système de détection des intrusions.

Les trois modes de Snort sont :

  • Mode renifleur
  • Enregistreur de paquets
  • Détection d'intrusion

Vous pouvez utiliser Snort comme un renifleur de paquets sans activer ses capacités de détection d'intrusion. . Dans ce mode, vous obtenez une lecture en direct des paquets transitant sur le réseau. En mode de journalisation des paquets, ces détails sur les paquets sont écrits dans un fichier.

Principales caractéristiques:

  • NIDS leader du secteur
  • Pris en charge par Cisco Systems

Lorsque vous accédez aux fonctions de détection d'intrusion de Snort, vous invoquez un module d'analyse qui applique un ensemble de règles au trafic lors de son passage. Ces règles sont appelées « politiques de base » et si vous ne savez pas de quelles règles vous avez besoin, vous pouvez les télécharger sur le site Web de Snort. Cependant, une fois que vous maîtrisez les méthodologies de Snort, il est possible d’écrire les vôtres. Il existe une large base communautaire pour cet IDS et ils sont très actifs en ligne sur les pages communautaires du site Snort. Vous pouvez obtenir des conseils et de l'aide d'autres utilisateurs et également télécharger des règles développées par les utilisateurs expérimentés de Snort.

Les règles détecteront des événements tels que les analyses de ports furtives, les attaques par débordement de tampon, les attaques CGI, les sondes SMB et les empreintes digitales du système d'exploitation. Les méthodes de détection dépendent des règles spécifiques utilisées et incluent à la fois méthodes basées sur les signatures et systèmes basés sur les anomalies .

Avantages:

  • Entièrement gratuit et open source
  • Une grande communauté partage de nouveaux ensembles de règles et de nouvelles configurations que les administrateurs système peuvent déployer dans leur environnement
  • Prend en charge le reniflage de paquets pour l'analyse du trafic en direct en conjonction avec l'analyse des journaux

Les inconvénients:

  • Très complexe, même avec des règles préconfigurées, une connaissance approfondie est requise
  • Compter sur le soutien de la communauté
  • A une courbe d'apprentissage plus abrupte que les autres produits avec un support dédié

La renommée de Snort a attiré des adeptes dans l’industrie des développeurs de logiciels. Plusieurs applications créées par d'autres éditeurs de logiciels peuvent effectuer une analyse plus approfondie des données collectées par Snort. Ceux-ci inclus Snorby , BASE , Squile , et anal . Ces applications compagnons vous aident à compenser le fait que l’interface de Snort n’est pas très conviviale.

6. OSSEC

Capture d

OSSEC signifie Sécurité HIDS open source . C'est le principal HIDS disponible et son utilisation est entièrement gratuite . En tant que système de détection d'intrusion basé sur l'hôte, le programme se concentre sur les fichiers journaux de l'ordinateur sur lequel vous l'installez. Il surveille les signatures de somme de contrôle de tous vos fichiers journaux pour détecter d'éventuelles interférences. Sous Windows, il gardera un œil sur toutes les modifications apportées au registre. Sur les systèmes de type Unix, il surveillera toute tentative d'accès au compte root . Bien qu'OSSEC soit un projet open source, il appartient en réalité à Trend Micro, un important producteur de logiciels de sécurité.

Principales caractéristiques:

  • Analyseur de fichiers journaux
  • Politiques gratuites
  • Système d'alerte

L'application de surveillance principale peut couvrir un ordinateur ou plusieurs hôtes, consolidant les données dans une seule console. Bien qu'il existe un agent Windows qui permet de surveiller les ordinateurs Windows, l'application principale ne peut être installée que sur un système de type Unix, c'est-à-dire Unix, Linux ou Mac OS. Il existe une interface pour OSSEC pour le programme principal, mais celle-ci est installée séparément et n'est plus prise en charge . Les utilisateurs réguliers d'OSSEC ont découvert d'autres applications qui fonctionnent bien comme interface frontale pour l'outil de collecte de données : notamment Splunk, Kibana et Graylog.

Les fichiers journaux couverts par OSSEC incluent les données FTP, de messagerie et de serveur Web. Il surveille également les journaux d'événements du système d'exploitation, les journaux et tables de pare-feu et d'antivirus, ainsi que les journaux de trafic. Le comportement d'OSSEC est contrôlé par les politiques que vous y installez . Ceux-ci peuvent être acquis sous forme de modules complémentaires auprès de la grande communauté d'utilisateurs active pour ce produit. Une stratégie définit une condition d'alerte. Ces alertes peuvent être affichées sur la console ou envoyées sous forme de notifications par e-mail.

Avantages:

  • Entièrement gratuit et open source
  • Utilise des sommes de contrôle pour vérifier l'intégrité des journaux et des fichiers
  • Prend en charge le moniteur de compte root sur les systèmes Unix/Linux
  • Fort support communautaire offrant de nouveaux modèles et profils d’analyse

Les inconvénients:

  • Dépend du soutien de la communauté – bien qu’un soutien payant supplémentaire soit disponible
  • Pourrait utiliser de meilleures fonctionnalités de reporting et de visualisation

Trend Micro propose une prise en charge pour OSSEC moyennant des frais.

7. Suricate

Capture d

Suricata est probablement la principale alternative à Snort. Suricata présente un avantage crucial par rapport à Snort, à savoir qu'il collecte des données au niveau de la couche application. . Cela surmonte l'aveuglement dont Snort est confronté à la répartition des signatures sur plusieurs paquets TCP. Suricata attend que toutes les données des paquets soient assemblées avant de déplacer les informations vers l'analyse.

Principales caractéristiques:

  • Opérations de la couche application
  • Fonctionne sur des données en direct

Bien que le système fonctionne au niveau de la couche application, il peut surveiller l'activité des protocoles à des niveaux inférieurs, tels que IP, TLS, ICMP, TCP et UDP. Il examine le trafic en temps réel pour différentes applications réseau, notamment FTP, HTTP et SMB. Le moniteur ne regarde pas seulement la structure des paquets . Il peut examiner les certificats TLS et se concentrer sur les requêtes HTTP et les appels DNS. Une fonction d'extraction de fichiers vous permet d'examiner et d'isoler les fichiers suspects présentant des caractéristiques d'infection virale.

Suricata est compatible avec Snort et vous pouvez utiliser les mêmes règles VRT écrites pour ce leader NIDS. Ces outils tiers, tels que Snorby , BASE , Squile , et anal qui s'intègrent à Snort peuvent également se connecter à Suricata. Ainsi, accéder à la communauté Snort pour obtenir des conseils et des règles gratuites peut être un avantage considérable pour les utilisateurs de Suricata. Un module de script intégré vous permet de combiner des règles et d'obtenir un profil de détection plus précis que celui que Snort peut vous offrir. Suricata utilise à la fois des méthodologies de détection de signatures et d'anomalies.

Suricata dispose d'une architecture de traitement intelligente qui permet une accélération matérielle en utilisant de nombreux processeurs différents pour une activité multithread simultanée. Il peut même fonctionner en partie sur votre carte graphique. Cette répartition des tâches évite que la charge ne pèse sur un seul hôte . C’est bien car l’un des problèmes de ce NIDS est qu’il est assez lourd en termes de traitement.

Avantages:

  • Collecte des données au niveau des couches d'application, ce qui leur donne une visibilité unique là où des produits comme Snort ne peuvent pas les voir
  • Analyse et réassemble les paquets de protocole de manière très efficace
  • Peut surveiller plusieurs protocoles et vérifier l'intégrité des certificats en TLS, HTTP et SSL
  • Est compatible avec d'autres outils qui utilisent le format de règle VRT

Les inconvénients:

  • Les scripts intégrés pourraient être plus faciles à utiliser
  • Est gratuit, mais n’a pas une communauté aussi grande que des outils comme Snort ou Zeek
  • Pourrait utiliser des visualisations plus esthétiques sur le tableau de bord en direct

Suricata dispose d'un tableau de bord très élégant qui intègre des graphiques pour faciliter grandement l'analyse et la reconnaissance des problèmes. Malgré ce frontal qui semble coûteux, Suricata est gratuit .

8. Zeek

Capture d

être(anciennement Bro) est un NIDS gratuits cela va au-delà de la détection d’intrusion et peut également vous fournir d’autres fonctions de surveillance du réseau. La communauté des utilisateurs de Zeek comprend de nombreuses institutions de recherche universitaires et scientifiques.

La fonction de détection d'intrusion Zeek est remplie en deux phases : journalisation et analyse du trafic. Comme pour Suricata, Zeek a un avantage majeur sur Snort dans la mesure où son analyse opère au niveau de la couche application . Cela vous donne une visibilité sur les paquets pour obtenir une analyse plus large de l'activité du protocole réseau.

Principales caractéristiques:

  • Détection de signature
  • Analyse des anomalies

Le module d'analyse de Zeek comporte deux éléments qui fonctionnent tous deux sur la détection de signature et l'analyse des anomalies. Le premier de ces outils d'analyse est le Moteur d'événements Zeek . Cela suit les événements déclencheurs, tels qu'une nouvelle connexion TCP ou une requête HTTP. Chaque événement est enregistré, cette partie du système est donc neutre du point de vue politique : elle fournit simplement une liste d'événements dans lesquels l'analyse peut révéler une répétition d'actions ou une activité suspecte diversifiée générée par le même compte utilisateur.

L'extraction de ces données d'événement est effectuée par scripts de stratégie . Une condition d'alerte provoquera une action, donc Zeek est un système de prévention des intrusions ainsi qu'un analyseur de trafic réseau. Les scripts de stratégie peuvent être personnalisés, mais ils s'exécutent généralement selon un cadre standard qui implique la correspondance des signatures, la détection des anomalies et l'analyse des connexions.

Vous pouvez suivre l'activité HTTP, DNS et FTP avec Zeek et également surveiller le trafic SNMP, vous permet de vérifier les modifications de configuration du périphérique et les conditions d'interruption SNMP . Chaque stratégie est un ensemble de règles et vous n'êtes pas limité au nombre de stratégies actives ou aux couches supplémentaires de la pile de protocoles que vous pouvez examiner. Aux niveaux inférieurs, vous pouvez surveiller les attaques DDoS syn Flood et détecter l’analyse des ports.

Avantages:

  • Hautement personnalisable, conçu pour les professionnels de la sécurité
  • Prend en charge l'analyse du trafic de la couche application ainsi que l'analyse basée sur les journaux
  • Utilise la détection des signatures et l'analyse des comportements anormaux pour détecter les menaces connues et inconnues
  • Prend en charge l'automatisation via des scripts, permettant aux administrateurs de scripter facilement différentes actions

Les inconvénients:

  • Uniquement disponible pour Unix, Linux et Mac
  • Pas convivial, nécessite une connaissance approfondie des SIEM, NIDS, IDS, etc.
  • Mieux adapté aux chercheurs et aux spécialistes

Zeek peut être installé sur Unix, Linux et Mac OS.

9. Sagan

Capture d

Sagan est un système de détection d'intrusion basé sur l'hôte , c'est donc une alternative à OSSEC et c'est aussi utilisation gratuite . Bien qu'il s'agisse d'un HIDS, le programme est compatible avec les données collectées par Snort, qui est un système NIDS. Cette compatibilité s'étend également aux autres outils pouvant être utilisés avec Snort, tels que Snorby , BASE , Squile , et anal . Les sources de données de Zeek et Suricata peuvent également alimenter Sagan. Cet outil peut être installé sur Unix, Linux et Mac OS. Bien que vous ne puissiez pas exécuter Sagan sous Windows, vous pouvez y insérer les journaux d'événements Windows.

Principales caractéristiques:

  • Analyse des journaux
  • Analyse du trafic réseau

À proprement parler, Sagan est un outil d'analyse de logs . L'élément qui lui manque pour en faire un NIDS autonome est un module de renifleur de paquets. Cependant, du côté positif, cela signifie que Sagan ne nécessite pas de matériel dédié et qu’il a la flexibilité d’analyser à la fois les journaux de l’hôte et les données de trafic réseau. Cet outil devrait être complémentaire à d’autres systèmes de collecte de données pour créer un système complet de détection d’intrusion.

Certaines fonctionnalités intéressantes de Sagan incluent un localisateur IP, qui vous permet de voir la localisation géographique des adresses IP qui sont détectés comme ayant des activités suspectes. Cela vous permettra de regrouper les actions des adresses IP qui semblent travailler de concert pour former une attaque. Sagan peut répartir son traitement sur plusieurs appareils, allégeant ainsi la charge sur le CPU de votre serveur de clés.

Ce système comprend l'exécution de scripts, ce qui signifie qu'il générera des alertes et effectuera des actions sur la détection de scénarios d'intrusion. Il peut interagir avec les tables de pare-feu pour mettre en œuvre des interdictions IP en cas d'activité suspecte provenant d'une source spécifique. Il s’agit donc d’un système de prévention des intrusions. Le module d'analyse fonctionne à la fois avec les méthodologies de détection de signature et d'anomalie.

Avantages:

  • Outil d'analyse de journaux gratuit
  • Est compatible avec d'autres outils open source comme Zeek et Snort
  • Comprend un localisateur d'adresses IP qui peut donner des informations géopolitiques sur les adresses

Les inconvénients:

  • Impossible d'installer les systèmes d'exploitation Windows
  • Est plus un outil HIDS qu’un IDS traditionnel
  • A une courbe d'apprentissage assez pointue pour les nouveaux utilisateurs

Sagan ne figure pas sur la liste des meilleurs IDS de tout le monde, car il n’est pas vraiment considéré comme un IDS, étant donné qu’il s’agit d’un analyseur de fichiers journaux. Cependant, son HIDS avec une touche de concept NIDS en fait une proposition intéressante en tant que composant d'outil d'analyse IDS hybride.

10. Oignon de sécurité

Capture d

Pour un mélange de solutions IDS, vous pouvez essayer le système gratuit Security Onion . La plupart des outils IDS de cette liste sont des projets open source . Cela signifie que n'importe qui peut télécharger le code source et le modifier.

C’est exactement ce qu’a fait le développeur de Security Onion. Il a pris des éléments du code source de Renifler , Blanche , OSSEC , et être et je les ai cousus ensemble pour faire ça Hybride NIDS/HIDS gratuit basé sur Linux . Security Onion est écrit pour fonctionner sur Ubuntu et intègre également des éléments de systèmes frontaux et d'outils d'analyse, notamment Snorby , École , Squirt , Kibana , ELSA , Xplico , et Mineur de réseau .

Principales caractéristiques:

  • Hybride HIDS/NIDS
  • Alertes de falsification de fichiers journaux

Bien que Security Onion soit classé comme NIDS, il inclut également des fonctions HIDS. Il surveillera vos fichiers journaux et de configuration pour détecter les activités suspectes et vérifiera les sommes de contrôle de ces fichiers pour détecter tout changement inattendu. . L’un des inconvénients de l’approche globale de Security Onion en matière de surveillance de l’infrastructure réseau est sa complexité. Il a plusieurs structures de fonctionnement différentes et il n'y a pas vraiment suffisamment de matériel d'apprentissage en ligne ou intégré pour aider l'administrateur réseau à maîtriser toutes les capacités de l'outil.

L'analyse du réseau est effectuée par un renifleur de paquets , qui peut afficher les données transmises sur un écran et également écrire dans un fichier. C'est dans le moteur d'analyse de Security Onion que les choses se compliquent car il existe tellement d'outils différents avec des procédures de fonctionnement différentes que vous pourriez bien finir par ignorer la plupart d'entre eux. L'interface de Kibana fournit le tableau de bord pour Security Onion et il comprend de jolis graphiques et tableaux pour faciliter la reconnaissance du statut.

Avantages:

  • Logiciel open source gratuit
  • Conçu pour les professionnels de la sécurité
  • Comprend un renifleur de paquets intégré pour l'analyse du trafic en direct

Les inconvénients:

  • Uniquement disponible pour Linux
  • Utilise Kibana pour la visualisation, ce qui peut être compliqué pour les nouveaux utilisateurs
  • L'interface est compliquée et peu conviviale

Des règles d'alerte basées sur des signatures et des anomalies sont incluses dans ce système. Vous obtenez des informations sur l'état de l'appareil ainsi que sur les modèles de trafic. Tout cela pourrait vraiment nécessiter une certaine automatisation des actions, ce qui manque à Security Onion.

11. AIDE

Capture d

« Advanced Intrusion Detection Environment » demande beaucoup à écrire, c'est pourquoi les développeurs de ce logiciel IDS ont décidé d'abréger son nom en AIDE. C'est un HIDS gratuit qui se concentre sur la détection des rootkits et les comparaisons de signatures de fichiers pour les systèmes d'exploitation Unix et de type Unix, il fonctionnera donc également sur Mac OS et Linux.

Principales caractéristiques:

  • Crée une ligne de base de configuration
  • Annule les modifications non autorisées

Si vous avez envisagé Tripwire, vous feriez mieux de vous tourner vers AIDE, car il s'agit d'un remplacement gratuit de cet outil pratique. Tripwire a une version gratuite, mais la plupart des fonctions clés dont la plupart des gens ont besoin d'un IDS ne sont disponibles qu'avec Tripwire payant, vous obtenez donc beaucoup plus de fonctionnalités gratuitement avec AIDE.

Le système compile une base de données de données d'administration à partir des fichiers de configuration lors de sa première installation. Que crée une référence, puis toute modification apportée aux configurations peut être annulée chaque fois que des modifications des paramètres du système sont détectées. L'outil comprend à la fois des méthodes de surveillance des signatures et des anomalies. Les vérifications du système sont émises à la demande et ne s'exécutent pas en continu , ce qui est un peu un manque à gagner avec ce HIDS. Comme il s'agit d'une fonction de ligne de commande, vous pouvez planifier son exécution périodique avec une méthode d'exploitation, telle que cron. Si vous souhaitez des données en temps quasi réel, vous pouvez simplement planifier leur exécution très fréquemment.

Avantages:

  • Logiciel open source gratuit
  • Conçu pour les professionnels de la sécurité
  • Déploiement extrêmement léger

Les inconvénients:

  • Uniquement disponible pour les systèmes d'exploitation Linux et Unix
  • Pas adapté aux débutants
  • Utilise une interface de ligne de commande pour la plupart des actions
  • Manque de nombreuses fonctionnalités trouvées dans d’autres outils NID

AIDE n'est en réalité qu'un outil de comparaison de données et n'inclut aucun langage de script, vous devrez vous fier à vos compétences en script shell pour obtenir des fonctions de recherche de données et d'implémentation de règles dans ce HIDS. Peut-être qu'AIDE devrait être considéré davantage comme un outil de gestion de configuration plutôt que comme un système de détection d'intrusion.

12. Ouvrez WIPS-NG

Capture d

Si vous avez entendu parler d'Aircrack-NG, vous pourriez être un peu prudent à ce sujet. IDS basé sur le réseau car il a été développé par le même entrepreneur. Aircrack-NG est un renifleur de paquets de réseau sans fil et un pirate de mot de passe qui fait désormais partie de la boîte à outils de chaque pirate de réseau wifi.

Dans WIPS-NG, nous voyons un cas de braconnier devenu garde-chasse. Ce logiciel gratuit est conçu pour défendre les réseaux sans fil . Bien qu'Aircrack-NG puisse fonctionner sur une gamme de systèmes d'exploitation, Open WIPS-NG ne fonctionne que sous Linux. Le nom « WIPS » signifie « système de prévention des intrusions sans fil », de sorte que ce NIDS détecte et bloque les intrusions.

Le système comprend trois éléments :

  • Module capteur
  • Serveur
  • Interface

Il est prévu de permettre à une installation WIPS-NG de surveiller plusieurs capteurs. Cependant, pour le moment, chaque installation ne peut comprendre qu'un seul capteur . Cela ne devrait pas poser trop de problème car vous pouvez réaliser plusieurs tâches avec un seul capteur. Le capteur est un renifleur de paquets, qui a également la capacité de manipuler les transmissions sans fil à mi-chemin. Le capteur fait donc office d’émetteur-récepteur pour le système.

Les informations recueillies par le capteur sont transmises au serveur, où la magie opère. La suite de programmes serveur contient le moteur d'analyse qui détectera les modèles d'intrusion . Des politiques d'intervention pour bloquer les intrusions détectées sont également élaborées au niveau du serveur. Les actions nécessaires à la protection du réseau sont envoyées sous forme d'instructions au capteur.

Avantages:

  • Outil très flexible, développé par la communauté des hackers
  • Interface de ligne de commande légère
  • Syntaxe facile à mémoriser

Les inconvénients:

  • Pas adapté aux débutants
  • Conçu principalement pour les spécialistes de la sécurité
  • S'appuie sur d'autres outils pour étendre les fonctionnalités

Le module d'interface du système est un tableau de bord qui affiche les événements et les alertes à l'administrateur du système. C'est également ici que les paramètres peuvent être modifiés et que les actions défensives peuvent être ajustées ou annulées.

13. Samhain

Capture d

Samhain, produit par Samhain Design Labs en Allemagne, est un logiciel de système de détection d'intrusion basé sur l'hôte et dont l'utilisation est gratuite . Il peut être exécuté sur un seul ordinateur ou sur plusieurs hôtes, offrant une collecte de données centralisée sur les événements détectés par les agents exécutés sur chaque machine.

Les tâches effectuées par chaque agent incluent la vérification de l'intégrité des fichiers, la surveillance des fichiers journaux et la surveillance des ports. Les processus recherchent les virus rootkit, les SUID (droits d'accès des utilisateurs) malveillants et les processus cachés. . Le système applique le cryptage aux communications entre les agents et un contrôleur central dans les implémentations multi-hôtes. Les connexions pour la transmission des données des fichiers journaux incluent des exigences d'authentification, qui empêchent les intrus de détourner ou de remplacer le processus de surveillance.

Les données recueillies par Samhain permettent d'analyser les activités sur le réseau et mettront en évidence les signes avant-coureurs d'intrusion. Cependant, il ne bloquera pas les intrusions ni n'éliminera les processus malveillants . Vous devrez conserver des sauvegardes de vos fichiers de configuration et des identités des utilisateurs pour résoudre les problèmes révélés par le moniteur Samhain.

L’un des problèmes liés aux intrusions de pirates et de virus est que l’intrus prend des mesures pour se cacher. Cela inclut la suppression des processus de surveillance. Samhain déploie une technologie furtive pour garder ses processus cachés, empêchant ainsi les intrus de manipuler ou de tuer l'IDS. Cette méthode furtive est appelée « stéganographie ».

Les fichiers journaux centraux et les sauvegardes de configuration sont signés avec une clé PGP pour empêcher toute falsification par des intrus.

Avantages:

  • Outil open source gratuit
  • Peut détecter les processus rouges ainsi que les intrusions à partir des fichiers journaux
  • Peut surveiller les droits d'accès des utilisateurs pour détecter l'élévation des privilèges et les menaces internes

Les inconvénients:

  • Aucune option d'assistance payante
  • Non disponible pour les systèmes d'exploitation Windows
  • L'interface semble obsolète et pas facile à utiliser
  • Manque de communauté robuste trouvée dans les outils NID open source les plus populaires

Samhain est un système de détection d'intrusion réseau open source téléchargeable gratuitement. Il a été conçu selon les directives POSIX pour le rendre compatible avec Unix, Linux et Mac OS. Le moniteur central regroupera les données de systèmes d’exploitation disparates.

14. Échec2Ban

Capture d

Fail2Ban est un système de détection d'intrusion gratuit basé sur l'hôte qui se concentre sur la détection des événements inquiétants enregistrés dans les fichiers journaux, tels que des tentatives de connexion infructueuses excessives. Le système bloque les adresses IP qui affichent un comportement suspect . Ces interdictions ne durent généralement que quelques minutes, mais cela peut suffire à perturber un scénario standard de craquage automatisé de mots de passe par force brute. Cette politique de sécurité peut également être efficace contre les attaques DoS. La durée réelle de l'interdiction d'adresse IP peut être ajustée par un administrateur.

Fail2Ban est en fait un système de prévention des intrusions car il peut agir lorsqu’une activité suspecte est détectée et ne se contente pas d’enregistrer et de mettre en évidence d’éventuelles intrusions suspectées.

Par conséquent, l'administrateur système doit faire attention aux politiques d'accès lors de la configuration du logiciel, car une stratégie de prévention trop stricte pourrait facilement exclure les utilisateurs de bonne foi . Un problème avec Fail2Ban est qu'il se concentre sur les actions répétées à partir d'une seule adresse. Cela ne lui donne pas la capacité de faire face aux campagnes distribuées de piratage de mots de passe ou aux attaques DDoS.

Fail2Ban est écrit en Python et est capable d'écrire dans les tables système pour bloquer les adresses suspectes. Ces verrouillages automatiques se produisent dans Netfilter, iptables, les règles de pare-feu PF et la table hosts.deny de TCP Wrapper.

La portée de surveillance des attaques du système est définie par une série de filtres qui indiquent à l'IPS quels services surveiller. Ceux-ci incluent Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd et qmail. Chaque filtre est associé à une action à réaliser en cas de détection d'une condition d'alerte. La combinaison d’un filtre et d’une action s’appelle une « prison ».

Avantages:

  • Outil entièrement gratuit
  • Interdit automatiquement les attaques contre les adresses IP
  • Agit comme une combinaison d'IDS et de HIDS

Les inconvénients:

  • Pas de support payant
  • L'interface de ligne de commande n'est pas aussi conviviale que les autres options
  • Disponible uniquement pour Unix, Linux et Mac

Ce système est écrit selon la norme POSIX, il peut donc être installé sur les systèmes d'exploitation Unix, Linux et Mac OS.

Comment sélectionner le logiciel IDS pour votre réseau

Les exigences matérielles d'une solution IDS basée sur le réseau peuvent vous décourager et vous pousser vers un système basé sur un hôte, qui est beaucoup plus facile à mettre en place et à utiliser. Cependant, ne négligez pas le fait que vous n’avez pas besoin de matériel spécialisé pour ces systèmes, mais simplement d’un hôte dédié.

En vérité, vous devriez envisager d'obtenir à la fois un HIDS et un NIDS pour votre réseau . En effet, vous devez faire attention aux changements de configuration et aux accès root sur vos ordinateurs, ainsi qu'aux activités inhabituelles dans les flux de trafic sur votre réseau.

La bonne nouvelle est que tous les systèmes de notre liste sont gratuits ou proposent des essais gratuits, afin que vous puissiez en essayer quelques-uns. L’aspect communauté d’utilisateurs de ces systèmes peut vous attirer vers un système en particulier si vous avez déjà un collègue qui en a l’expérience. La possibilité d'obtenir des conseils d'autres administrateurs réseau est un attrait définitif pour ces systèmes . Cela les rend encore plus attrayantes que les solutions payantes avec un support technique professionnel.

Si votre entreprise évolue dans un secteur qui nécessite une conformité à des normes de sécurité, telles que PCI, vous aurez alors vraiment besoin d'une solution IDS. Aussi, si vous détenez des informations personnelles sur des membres du public, vos procédures de protection des données doivent être à la hauteur pour éviter que votre entreprise soit poursuivie en justice pour fuite de données.

Bien que cela prenne probablement toute votre journée de travail simplement pour rester au courant de votre boîte de réception d'administrateur réseau, ne retardez pas la décision d’installer un système de détection d’intrusion . Espérons que ce guide vous a donné un coup de pouce dans la bonne direction. Si vous avez des recommandations sur votre IDS préféré et si vous avez de l'expérience avec l'un des logiciels mentionnés dans ce guide, laissez une note dans la section commentaires ci-dessous et partagez vos réflexions avec la communauté.

FAQ sur les systèmes de détection d'intrusion

Qu'est-ce qu'un IDS et un IPS ?

Un IDS est un système de détection d’intrusion et un IPS est un système de prévention des intrusions. Alors qu'un IDS détecte les accès non autorisés aux ressources du réseau et de l'hôte, un IPS fait tout cela et met en œuvre des réponses automatisées pour verrouiller l'intrus et protéger les systèmes contre le détournement ou le vol de données. Un IPS est un IDS avec des flux de travail intégrés déclenchés par un événement d'intrusion détecté.

Expliquez Snort vs OSSEC

Snort et OSSEC sont tous deux des IDS open source. Snort est un système de détection d'intrusion basé sur le réseau (NIDS) et OSSEC est un système de détection d'intrusion basé sur l'hôte (HIDS). La principale différence entre les approches de Snort et OSSEC est que les méthodes NIDS de Snort fonctionnent sur les données lorsqu'elles transitent par le réseau. Le système HIDS d'OSSEC examine les fichiers journaux sur les ordinateurs du réseau pour rechercher des événements inattendus. Snort et OSSEC sont tous deux des principaux IDS.

Comment fonctionnent les systèmes de détection d'intrusion basés sur l'hôte ?

Systèmes de détection d'intrusion basés sur l'hôte(CACHÉS) examinez les fichiers journaux pour identifier les accès non autorisés ou l'utilisation inappropriée des ressources et des données du système. Les principales sources des systèmes de détection d'intrusion basés sur l'hôte sont les journaux générés par Syslog et les événements Windows. Alors que certains systèmes de détection d'intrusion basés sur l'hôte s'attendent à ce que les fichiers journaux soient collectés et gérés par un serveur de journaux distinct, d'autres disposent de leurs propres consolidateurs de fichiers journaux intégrés et collectent également d'autres informations, telles que les captures de paquets de trafic réseau.

Que sont les IDS actifs et passifs ?

Systèmes de détection d'intrusion ( ID ) il suffit d'identifier un accès non autorisé à un réseau ou à des données pour pouvoir prétendre au titre. Un IDS passif enregistrera un événement d’intrusion et générera une alerte pour attirer l’attention d’un opérateur. L'IDS passif peut également stocker des informations sur chaque intrusion détectée et prendre en charge l'analyse. Un IDS actif est également appelé Système de prévention des intrusions ( IPS ) ou un Système de détection et de prévention des intrusions ( personnes déplacées ) car en plus de détecter une intrusion, il met en œuvre des actions automatisées pour bloquer l'intrus et protéger les ressources.

Comment l’IDS définit-il une utilisation normale ?

Il existe deux méthodes qu'un IDS peut utiliser pour définir une utilisation normale : certains outils IDS utilisent les deux. La première consiste à comparer les événements à une base de données de stratégies d’attaque, de sorte que la définition d’une utilisation normale couvre toute activité qui ne déclenche pas la reconnaissance d’une attaque. L’autre méthode consiste à utiliser l’apprentissage automatique basé sur l’IA pour enregistrer l’activité régulière. La méthode IA peut prendre un certain temps pour construire sa définition d’une utilisation normale.

Quels sont les meilleurs systèmes de détection et de prévention des intrusions ?

Notre recherche classe les meilleurs systèmes de détection et de prévention des intrusions, car SolarWinds Security Event Manager, Snort, OSSEC et ManageEngine EventLog Analyzer sont les principaux systèmes décrits dans cet article.

Lectures complémentaires

Guides de mise en réseau Comparitech

Autres informations sur la surveillance du réseau

^