Linuxに最適なIDS

セキュリティはどのシステムでも重要な問題です。 * nixシステムはいかなる攻撃に対しても無防備である、またはマルウェアに感染することはできないと考える人もいます。そしてそれは誤解です。あなたは常にあなたの警戒を守らなければなりません、何も100％安全ではありません。したがって、サイバー攻撃の被害を検出、阻止、または最小化するのに役立つシステムを実装する必要があります。この記事では、 IDSとは何ですか？ Linuxディストリビューション用。

IDSとは何ですか？

Un IDS（侵入検知システム）、または侵入検知システムは、疑わしいアクティビティを検出し、一連のアラートを生成して違反を報告する監視システムです（ファイルの署名、スキャンパターン、悪意のある異常、監視動作、構成、ネットワークトラフィックなどを比較することで検出できます）。システム。

これらのアラートのおかげで、次のことができます 問題の原因を調査する 脅威を改善するために適切な行動を取ります。すべての攻撃を検出するわけではありませんが、回避方法があり、それらをブロックするのではなく、報告するだけです。さらに、シグニチャに基づいている場合、最新の脅威（0日）も回避され、検出されない可能性があります。

種類

基本的に、 XNUMX種類のIDS:

HIDS（ホストベースのIDS）-特定のエンドポイントまたはマシンに展開され、内部および外部の脅威を検出するように設計されています。例としては、OSSEC、Wazuh、Samhainがあります。
NIDS（ネットワークベースのIDS）-ネットワーク全体を監視するが、そのネットワークに接続されているエンドポイント内の可視性が不足している。例としては、Snort、Suricata、Bro、およびKismetがあります。

ファイアウォール、IPSおよびUTM、SIEMとの違い..。

そこに 誤解を招く可能性のあるさまざまな用語、しかしそれはIDSとの違いがあります。知っておくべきセキュリティ関連の用語のいくつかは次のとおりです。

ファイアウォール：アクティブな検出システムであるため、IDSというよりはIPSのように見えます。ファイアウォールは、構成されているルールに応じて、特定の通信をブロックまたは許可するように設計されています。ソフトウェアとハードウェアの両方で実装できます。
IPS：は侵入防止システムの頭字語であり、IDSを補完するものです。特定のイベントを防止できるシステムであるため、アクティブなシステムです。 IPS内では、4つの基本的なタイプを区別できます。
- NIPS-ネットワークベースであるため、疑わしいネットワークトラフィックを探します。
- ワイプ：NIPSと同様ですが、ワイヤレスネットワーク用です。
- NBA-ネットワークの動作に基づいており、異常なトラフィックを調べます。
- HIPS-一意のホストでの疑わしいアクティビティを探します。
UTM：は、複数の集中機能を提供するサイバーセキュリティの管理システムであるUnified ThreatManagementの頭字語です。たとえば、ファイアウォール、IDS、ウイルス対策、スパム対策、コンテンツフィルタリング、VPNなどが含まれます。
Otros： あなたが確かに聞いたことがあるサイバーセキュリティに関連する他の用語もあります：
- YES：は、Security Information Manager、またはセキュリティ情報管理の頭字語です。この場合、セキュリティ関連のすべてのデータをグループ化して、レポートの生成、分析、決定などを行う中央レジストリです。つまり、この情報を長期的に保存するための一連の容量です。
- SEM：セキュリティイベントマネージャ機能、またはセキュリティイベント管理は、アクセスの異常なパターンを検出し、リアルタイムで監視する機能、イベントの相関関係などを提供します。
- SIEM：SIMとSEMの組み合わせであり、SOCまたはセキュリティオペレーションセンターで使用される主要なツールのXNUMXつです。