Détecter les attaques et les situations potentiellement dangereuses avec HIDS: de quoi s’agit-il?
Une brève introduction au fonctionnement des outils détection d’intrusion: que sont HIDS et NIDS.
le Système de détection d’intrusion (IDS) sont des outils matériels et / ou logiciels qui vous permettent d’identifier tout accès non autorisé aux réseaux informatiques ou en tout cas de détecter d’éventuelles opérations suspectes, signe clair de tentative d’agression, de programmes malveillants ou d’attaques en cours.
Contrairement à un pare-feu qui utilise un ensemble de règles pour gérer les paquets de données en transit, permettant à ceux qui doivent pouvoir entrer ou sortir du réseau et bloquant ceux qui ne sont pas autorisés, un IDS vérifie l’état des paquets qui s’exécutent sur le réseau local en en les comparant aux caractéristiques avec celles qui peuvent indiquer une situation dangereuse.
Alors qu’un Système de détection d’intrusion réseau (NIDS) est un outil axé sur l’analyse du trafic réseau, un Système de détection d’intrusion basé sur l’hôte (HIDS) est un outil spécialisé dans l’analyse et la surveillance de l’appareil unique.
Le fonctionnement du HIDS est centré sur l’analyse des logs générés par le système d’exploitation et par les autres applications installées. Les fichiers journaux, comme nous le savons, sont complexes à gérer et avec le temps, ils peuvent atteindre une taille très considérable.
Par conséquent, parmi les avantages des solutions HIDS, il y a les compétences liées à extraction et traitement efficaces des informations contenues dans les journaux: les informations enregistrées dans les logs sont en effet très précieuses pour mettre en évidence les comportements suspects des utilisateurs ou des processus / programmes non autorisés.
Un HIDS basé sur l’utilisation de Signature il se comporte en fait comme un anti-malware tandis qu’un NIDS se comporte comme un pare-feu. Les produits utilisant cette approche recherchent des «empreintes digitales» dans les journaux ou les paquets de données qui peuvent être attribués à des processus malveillants.
D’autres HIDS et NIDS se concentrent plutôt sur des «anomalies» par rapport au comportement attendu des utilisateurs, des programmes et du système d’exploitation.
Le meilleur HIDS disponible sur le marché
Parmi les logiciels open source, disponibles gratuitement, il y a OSSEC: développé par Trend Micro, c’est un produit qui combine les fonctionnalités de HIDS et NIDS.
Il peut surveiller le contenu des fichiers journaux en temps réel, les protégeant des modifications non autorisées; les politique configurables – il y en a des tout faits en puisant dans les ressources partagées par la communauté des utilisateurs – vous permettent de faire remonter à la surface toute anomalie symptôme d’un comportement suspect qui mérite une étude plus approfondie.
Installable sous Windows, Linux et macOS, OSSEC ne possède pas d’interface graphique (les utilisateurs combinent généralement l’utilisation de Kibana ou alors Graylog) mais vous permet de surveiller le journal des événements Windows et le journal système ainsi que le compte racine de divers systèmes d’exploitation.
Parmi les HIDS gratuits, il est impossible de ne pas mentionner Sagan: ne peut être installé que sur les systèmes macOS et Linux, ce logiciel est toujours capable de collecter des informations précieuses à partir des journaux Windows. Il profite également à la fois de l’approche basée Signature que la détection de situations anormales.
Un HIDS « pur », au moins dans la version gratuite, capable de détecter les anomalies et d’envoyer rapidement des notifications à l’administrateur système est Splunk.
Ce logiciel dispose d’un panneau de contrôle de premier niveau qui, à travers des graphiques et des rapports de synthèse, vous permet de toujours avoir sous contrôle ce qui se passe sur le réseau local.
SolarWinds, qui a développé et commercialise la solution HIDS / NIDS la plus complète du marché (mais aussi assez chère), met également à disposition des parties intéressées Papertrail, un «agrégateur de journaux» particulièrement utile qui permet de gérer le journal des événements Windows, les messages Syslog , Les fichiers journaux Apache, les messages renvoyés par Ruby on Rails, les notifications des routeurs et des pare-feu.
Papertrail se compose d’outils d’analyse d’informations et vous permet de visualiser les messages pertinents en temps réel au fur et à mesure qu’ils sont ajoutés aux journaux.
Cependant, il s’agit d’une solution cloud entièrement gérée sur des serveurs SolarWinds: la société garantit la sauvegarde et l’archivage des données, vous permettant ainsi d’économiser beaucoup sur l’achat, la configuration et la gestion des serveurs. sur site.
Papertrail utilise les deux Signature que sur la reconnaissance des anomalies. Mises à jour de politique ils sont distribués bénéficiant des détections survenues sur les systèmes des autres utilisateurs.
Il est évident que HIDS / NIDS ne sont pas la solution pour une gestion correcte de tous les problèmes liés à la sécurité de l’entreprise. Cependant, ces solutions vous permettent de détecter et de bloquer les comportements potentiellement dangereux (vous pouvez décider de bloquer, par exemple, tous les périphériques USB qui n’ont pas été préalablement autorisés).
Pour en savoir plus, nous vous suggérons de lire l’article Cyber sécurité, comment se défendre contre les menaces les plus modernes au bureau et en entreprise.
Découvrez aussi plus d’articles dans nos catégories Internet, productivité et Ordinateurs et internet.
Merci pour votre visite on espère que notre article Détecter les attaques et les situations potentiellement dangereuses avec HIDS: de quoi s’agit-il?
vous aide, pensez à partager l’article sur Facebook, instagram et e-mail avec les hashtags ☑️ #Détecter #les #attaques #les #situations #potentiellement #dangereuses #avec #HIDS #quoi #sagitil ☑️!
