Hasta donde sé, NIDS implementado en la capa de red y HIDS en la capa basada en host. ¿Es posible que el registro de NIDS (por ejemplo: Snort o suricata) se incluya en el registro de HIDS (por ejemplo: OSSEC)? ¿El NIDS y el HIDS son sistemas independientes que no pueden integrarse entre sí?
El supuesto es como abajo:
- Implementé NIDS y HIDS en mi servidor
- NIDS para SNORT y HIDS para Ossec.
- Después, eso digamos que hay anomalías que se pueden encontrar en la capa de red (es decir, DDoS)
- Eso parece un trabajo para NIDS (SNORT)
- Deben activarse las reglas SNORT.
- SNORT Analizó la anomalía, recopiló la información y realizó alguna acción que asignamos en las reglas de SNORT.
- SNORT realiza alguna acción para la anomalía que se ha encontrado.
- Después de eso, la información que SNORT recopiló se enviará a Ossec.
- Si el atacante (la anomalía) puede pasar las reglas SNORT, hay una copia de seguridad que maneja la anomalía, y fue OSSEC
¿Es esto posible? o esto no es una buena idea?
Mi motivo al hacer esto es que quiero hacer una seguridad diferente a la que se encuentra en la red y en el host, para que mi centro de datos / servidor sea más seguro que usar un tipo de IDS