Combine la detección de SNORT y el registro con la respuesta activa OSSEC

0

Hasta donde sé, NIDS implementado en la capa de red y HIDS en la capa basada en host. ¿Es posible que el registro de NIDS (por ejemplo: Snort o suricata) se incluya en el registro de HIDS (por ejemplo: OSSEC)? ¿El NIDS y el HIDS son sistemas independientes que no pueden integrarse entre sí?

El supuesto es como abajo:

  1. Implementé NIDS y HIDS en mi servidor
  2. NIDS para SNORT y HIDS para Ossec.
  3. Después, eso digamos que hay anomalías que se pueden encontrar en la capa de red (es decir, DDoS)
  4. Eso parece un trabajo para NIDS (SNORT)
  5. Deben activarse las reglas SNORT.
  6. SNORT Analizó la anomalía, recopiló la información y realizó alguna acción que asignamos en las reglas de SNORT.
  7. SNORT realiza alguna acción para la anomalía que se ha encontrado.
  8. Después de eso, la información que SNORT recopiló se enviará a Ossec.
  9. Si el atacante (la anomalía) puede pasar las reglas SNORT, hay una copia de seguridad que maneja la anomalía, y fue OSSEC

¿Es esto posible? o esto no es una buena idea?

Mi motivo al hacer esto es que quiero hacer una seguridad diferente a la que se encuentra en la red y en el host, para que mi centro de datos / servidor sea más seguro que usar un tipo de IDS

    
pregunta gagantous 30.10.2017 - 04:16
fuente

1 respuesta

1

Hay una solución en enlace . Ofrecen un producto que incorpora HIDS y NIDS en una caja. En realidad usan Suricata y Ossec.

    
respondido por el Serg Kim 30.10.2017 - 11:14
fuente

Lea otras preguntas en las etiquetas