5つの人気のあるオープンソースHIDSシステムの紹介
Introduction 5 Popular Open Source Hids Systems
脅威の状況はますます多様化しており、攻撃に使用されるシステムはかつてないほど複雑になっています。最新の組織資産とすべてのネットワークトラフィックのセキュリティを確保するには、侵入検知システムが不可欠であることは間違いありません。これらの保護手段は、組織のネットワークへの制限されたアクセスを防御するために使用されます。侵入検知システムに関しては、2つの異なるタイプがあります。ホストベース(HIDS)およびネットワークベースのシステム(NIDS)。ネットワークベースのIDSは、ネットワークトラフィックの侵入を分析し、アラートを発行します。一方、HIDSは、ネットワーク上のイベントを調べることにより、ホスト上の疑わしいアクティビティを追跡します。
この記事では、組織を保護するのに役立つ5つのオープンソースのホストベースの侵入検知システムを紹介します。
HIDSについて
HIDSツールについて詳しく説明する前に、ホストベースの侵入検知システムとは何かについて説明しましょう。前述のように、侵入検知システムは、悪意のあるアクティビティが検出されたときに管理者を検出して警告できるハードウェアまたはソフトウェアアプリケーションです。 HIDSは主に、事前定義されたポリシーと一連のルールに基づいて異常や不正な変更を検出するために、ログファイルの監視と分析に重点を置いています。つまり、HIDSは、追加した事前に確立されたルールと同じくらい効果的です。保存されているログの数が多い場合、異常を検出するには意味のある情報を抽出することが不可欠です。抽出される情報は正確である必要があります。したがって、これらのログのセキュリティを確保することは、ログの操作を防ぐために不可欠です。 A
1. OSSEC
OSSECは、Open Source Security IncidentCorrelatorの頭字語です。この定評のある評判の良いソリューションは、多くの貢献者のおかげで、OSSECFoundationによって開発および保守されている無料のオープンソースのホストベースの侵入検知システムです。戻ってきた トレンドマイクロAll 。これは進化するプロジェクトであり、月に約5,000回ダウンロードされ、Windows、さまざまなLinuxディストリビューション、およびMacOSで実行できるため、スケーラブルでマルチプラットフォームです。 OSSECは通常Wazuhと比較されます。OSSECとWazuhの内訳をいくつか紹介します。これは、HIDSまたはSIEMユーザーによる比較です。このリストの後半で、Wazuhを紹介します。
HIDSとして、このツールを使用すると、シグニチャおよび異常検出方法を使用して、ログ分析、ファイル整合性チェック、ポリシーモニタリング、ルートキット検出、およびアクティビティ応答を実行できます。これは、異常を検出するためのシステムの動作に関する貴重な洞察を提供します。 OSSECはサーバープロキシモデルを使用します。つまり、専用サーバーが各ホストの集約と分析を提供します。 OSSECをインストールして構成するには、 手順は非常に簡単です 、しかし、OSSECにはいくつかの欠点があります。たとえば、新しいバージョンにアップグレードする場合、移行後にエクスポートおよびインポートしない限り、上書き操作のために定義されたルールが失われます。ただし、複数のデバイスとさまざまなサービス(Webサーバー、データベース、ファイアウォールなど)を集約する場合は、強力なログ分析エンジンとしてOSSECが適しています。
図1: 8db1416a-67ff-4acf-8030-20a99d0e757d.png
その後のリリースでは、Debianベースのシステム用の認証ログファイル、分析用の非標準のSophos UTMタイムスタンプ(3.6.0)、インデントログ用の複数行ログ収集(3.5.0)、およびその他の複数行へのアップグレードが追加されました。録音。
2.トリップワイヤー
名前が示すように、これは トリップワイヤー 無料のホストベースのオープンソースコード検出システムを開発しました。同社は商用ソリューションも提供していますが、オープンソースのHIDSに焦点を当てます。オープンソースのTripwireソフトウェアパッケージは、ほぼすべてのLinuxディストリビューションでのみ実行されます。それを確実にするために データの整合性 強力な機能で知られ、システム管理者がシステムファイルへの変更を検出し、ファイルが破損または改ざんされたときに通知するのに役立ちます。
Linuxホストにインストールするには、apt-getまたはyumユーティリティを使用するだけです。インストールプロセス中に、必要なパスワードを追加するように求められます。複雑なものを選択するのが最善です。一度その インストール データベースを起動する必要があります。簡単にチェックを開始できます。十分に統合されたLinux侵入検知システムが必要な場合は、オープンソースのTriptripが最善の選択かもしれませんが、いくつかの制限があります。たとえば、リアルタイムで通知されないため、自分でログを確認する必要があります。また、オペレーティングシステムのインストール後にインストールして、インストール前に悪意のあるアクティビティが検出されないようにする必要があります。
次のスクリーンショットは、他の手順の中でも、各ルールとセキュリティレベルを説明しています。
図2( 画像ソース )。
3. Wazuh
Wazuhは、整合性の監視、インシデント対応、およびコンプライアンスのためのもう1つのオープンソース監視ソリューションです。執筆時点では、最新バージョンは3.8.2です。先に述べたように、オンラインでWazuhとOSSECの比較を見るかもしれませんが、これは同様の目的のためだけでなく、共通の起源でもあります。 Wazuhは元々OSSECのブランチであり、公式ドキュメントに示されているように、その構造はより高い信頼性とスケーラビリティを備えています。 Wazuhは、ログ分析、整合性チェック、Windowsレジストリの監視、およびアクティビティ応答の実行に加えて、異常および署名の検出方法を使用して検出します。 ルートキット 。 OSSECとの違いは 対各統合 能力 、改善されたルールセットと静的API関数の使用。永続ボリュームとバインディングマウントに焦点を当てることで、Wazahを使用してDockerコンテナー内のファイルを監視することもできます。
HIDSは、エージェント、サーバー、エラスティックスタックの3つの主要コンポーネントで構成されています。そのエージェントは、Windows、Linux、Solaris、BSD、およびMacオペレーティングシステムで実行されます。プロジェクトのインストール方法を理解するには、公式に従うことを強くお勧めします インストールガイド 。これらの手順は簡単に実行でき、完全に説明されています。ワズにはいくつかの欠点があります。サーバーのインストールとAPIは面倒な場合があります。
次のスクリーンショットは、Wazuhの概要ダッシュボードを表しています。
画像3( 画像ソース)
バージョン3.11.2以降、 Wazuh UI Kibanaがアップグレードされ(当時は7.5.2)、XML検証プログラムがアップグレードされ、ファイルサイズの制限が引き上げられました。
4.サムハイン
Samhainは、ファイルの整合性のチェック、ログファイルの監視、および非表示のプロセスの検出に役立つ中央管理機能を備えたオープンソースのHIDSです。このマルチプラットフォームソリューションは、POSIXシステム(Unix、Linux、Cygwin / Windows)で実行できます。
サムハインのインストールは非常に簡単です、あなたはただする必要があります 公式サイト tar.gzファイルをダウンロードして、システムにインストールします。その前に、MySQLとApacheがサーバーで実行されていることを確認する必要があります。サムハインプロジェクトには多くの詳細が付属しています Doc 。 HIDSは、TCP / IP通信を介して一元化され暗号化された監視機能も提供します。開発者によって書かれた妄想的なコードのおかげで、ステルス機能(侵入者から保護する)で以前に説明した他のオープンソースHIDSとは異なります。そしてサムハイン コミュニティ 非常に優れており、他のHIDSよりもインストールが困難です。 WindowsクライアントではCygwinをインストールする必要があり、最初はレポートを理解するのが困難です。
サムハインログ これはデフォルトで/ var / logにあり、デフォルトでXML書き込みに使用されます(./configure –enable–xml-logコマンドを使用して構成します)。サムハインには ログファイルのローテーション そしてロック機能。 SQLデータベース、コンソール、電子メール、システムログ、プレリュードIDSなどを記録するのに役立ちます。
5.安全な玉ねぎ
セキュリティオニオンは ダグ・バークス Linuxに基づく無料のオープンソース侵入検知システムを設計および保守しています。このプロジェクトは、完全なパケットキャプチャ機能、ホストベースのイベントをネットワークベースのイベントに関連付ける侵入検知システム、およびSnort、Bro、Sguil、Suricata、その他多くの実用的なプログラムを含む他の多くのツールセットの3つのコンポーネントで構成されています。
セキュリティタマネギは、侵入検知システムだけではありません。結局のところ、数分でネットワークセキュリティ監視(NSM)プラットフォームを簡単に構築したい場合は、このツールがその使いやすいウィザードのおかげで答えになります。
インストールする前に、SecurityOnionが64ビットハードウェアのみをサポートしていることを知っておく必要があります。詳細な技術要件は、公式ドキュメントにも記載されています。 SecurityOnionのインストール手順は非常に簡単です。読んだ Doc (要件とリリースノートを含む)、あなた ダウンロードする必要がありますメジャー画像 。
時間が厳しい場合は、安全なタマネギが最良の選択ですが、いくつかの欠点もあります。まず、ネットワークを管理するためのWi-Fiをサポートしていません。さらに、さまざまなツールを使用して配布効率を向上させる方法を学ぶ必要があります。これに加えて、ルール外の構成を自動的にバックアップすることはありません。このためには、サードパーティのユーティリティを使用する必要があります。
この スクリーンショット リアルタイムのイベント検出のためのSecurityOnion(Sguil)の使用について説明しました。
概要
現代の組織にとって、ホストベースの侵入検知システムを展開することは重要です。市場にはさまざまな機能を持つ多くのHIDSがあります。範囲を狭めるために、5つのオープンソースツールを選択しました。これにより、ホストで何が起こっているのかを深く理解できます。選択は、ツールの人気、ツールの機能、管理対象オペレーティングシステムなど、多くの基準に基づいています。
HIDSは、チームが会社のセキュリティを向上させるのに役立つ多くの重要なセキュリティツールの1つにすぎません。適切なツールを選択するのは難しい場合があります。次の質問を検討してください。あなたのチームは、DevOpsプラクティスにセキュリティを組み込むことができますか?クラウドセキュリティを検討する際のニュアンスは何ですか?セキュリティツールとそれらが生成する大量のデータにますます圧倒されている企業にとって、 セキュリティ分析 大きなトレンドになりつつあります。私たちを見る クラウド運用セキュリティの完全な青写真、 SecOpsツールとベストプラクティスの詳細については。