SNORT检测和日志与主动响应OSSEC相结合
SNORT检测和日志与主动响应OSSEC相结合
提问于 2017-10-30 03:16:21
据我所知,NIDS在网络层实现,HIDS在基于主机的层实现,NIDS(例如: Snort或suricata )日志也可能包含在HIDS(例如: OSSEC)日志中吗?NIDS和HIDS是不能相互集成的独立系统吗?
假设如下:
- 我在我的服务器上实现了NIDS和HIDS。
- NIDS用于SNORT,HIDS用于Ossec。
- 然后,假设在网络层(即DDoS )中可以发现异常
- 这看起来像是NIDS的工作(SNORT)
- 应该触发SNORT规则。
- SNORT分析异常,收集信息,并执行我们在SNORT规则中分配的一些操作。
- SNORT对已经发现的异常做一些动作。
- 之后,SNORT收集的信息将被发送到Ossec。
- 如果攻击者(异常)能够传递SNORT规则,则有一个处理异常的备份,它是OSSEC。
这有可能吗?还是这不是个好主意?
我这样做的动机是,我想使几个位于网络和基于主机的安全,所以它使我的数据中心/服务器比使用一种类型的IDS更安全
回答 2
Security用户
发布于 2017-10-30 10:14:06
有一个来自https://www.alienvault.com/的解决方案。他们提供一个将HIDS和NIDS集成在一个盒子中的产品。他们实际上使用了Suricata和Ossec。
Security用户
发布于 2019-08-11 18:01:21
也许现在想出答案已经太晚了。但是,我认为我应该写这篇文章来介绍我的方法,这可能会对初学者试图找到陷阱有所帮助。
Snort只能配置为Network,而不能配置为HOST,因为Snort只能监视网络流量,而不能监视主机内部发生的情况。您将永远不会在SNORT中找到任何涉及主机内部文件或目录的规则,因此它只讨论网络而不是主机。
然而,OSSEC与SNORT有很大的不同,因为它只关注围绕主机的活动。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/172446
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号