it-swarm-es.com

¿Qué software FOSS le gusta usar para construir pilas de detección de intrusiones?

Se alienta a las empresas nuevas y organizaciones con presupuestos limitados que se recomiendan a los conscientes de la seguridad a implementar pilas de detección de intrusiones. Dado que Prevención siempre fallará, las pilas de detección de intrusiones a menudo son vitales para aprender por qué fallaron las defensas.

Soy un fanático de la siguiente pila de intrusión que cubre la capa de aplicación, capa del sistema y capa de red:

sistema: OSSEC
Aplicación: Modsecurity
Red: FlowMatrix (Hice trampa, este no es FOSS, ¡pero es gratis!)

¿Cuáles son tus pilas favoritas de intrusión (foss o libre)?

9
Tate Hansen
5
atdre

Snort es un ID excelentes con un historial largo. He desplegado ligeramente más de una docena de sensores en mi organización, y estoy agregando continuamente más a la mezcla. La caída más grande de Snort es el hecho de que las versiones actuales son de un solo roscado, aunque eso cambiará con la próxima versión 3 de la versión 3. Combinado con las amenazas emergentes reglas, me he impresionado extremadamente con el producto.

La plataforma completa consiste en:

  • snort
  • títere (para la gestión del sistema y la disiminación de la regla)
  • Oinkmaster (para actualizaciones de reglas y administración)
  • Cobbler (para aprovisionamiento)
  • Sombrero rojo

Todo el registro se agrega usando RSA Imision, aunque Splunk debería manejarlo bien.

5
Scott Pack

The Bro IDS http://www.bro-ids.org/ que ha sido financiado por las tecnologías estratégicas de la Fundación Nacional de Ciencia para el Programa de Internet, DOE, DEC y otros grupos de investigación. Tiene su propio sistema impulsado por eventos y también puede importar reglas de resoplidos para una detección a base de firma agregada.

2
Weber