HIDS:
· 对于基于主机的入侵检测,Security Onion提供OSSEC,这是一个面向Windows,Linux和Mac OSX的免费开源HIDS。当您将OSSEC代理添加到网络上的端点时,您可以从端点到网络的出口点获得宝贵的可见性。OSSEC执行日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和主动响应。Trend-Micro最初由Daniel Cid创建,于2009年收购OSSEC,并继续作为开源解决方案提供。作为分析师,能够将基于主机的事件与基于网络的事件相关联可能是识别成功攻击的不同之处。
分析工具:
通过完整的数据包捕获,IDS日志和Bro数据,分析师可以轻松获得令人畏惧的数据量。幸运的是,Security Onion集成了以下工具来帮助理解这些数据:
· Sguil由Bamm Visscher(@bammv)创建,是“网络安全监控的分析师控制台”。它是分析师的右手,可以查看正在收集的事件数据和用于验证检测的上下文。Sguil提供单个GUI(用tcl /tk编写),用于查看Snort或Suricata警报,OSSEC警报,Bro HTTP事件和被动实时资产检测系统(PRADS)警报。更重要的是,Sguil允许您直接从警报“转移”到数据包捕获(通过Wireshark或NetworkMiner)或触发警报的完整会话的记录。因此,不是只看到与警报相关联的单个数据包而是留下无法回答的问题,“现在怎么办?”或“接下来发生了什么?”您可以查看所有相关的流量并实际回答该问题。此外,Sguil允许分析师查询捕获的所有数据包,而不仅仅是那些涉及警报的数据包,因此您可以关联可能未触发任何警报但仍可能与恶意或不需要的活动相关联的流量。最后,Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。不仅仅是那些涉及警报的人,因此您可以关联可能未触发任何警报但仍可能与恶意或不受欢迎的活动相关联的流量。最后,Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。不仅仅是那些涉及警报的人,因此您可以关联可能未触发任何警报但仍可能与恶意或不受欢迎的活动相关联的流量。最后,Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。
