ネットワークベースの侵入検知システム：使用する5つのベストNIDSツール

最近誰もが心配しているようですセキュリティ付き。サイバー犯罪の重要性を考慮すると、それは理にかなっています。組織は、データを盗んだり、他の被害を引き起こそうとするハッカーの標的になります。これらの攻撃からIT環境を保護する1つの方法は、適切なツールとシステムを使用することです。 多くの場合、最初の防衛線は、ネットワークベースの侵入検知システムまたはNIDSの形でネットワークの境界にあります。これらのシステムはあなたに来るトラフィックを分析しますインターネットからネットワークで不審なアクティビティを検出し、すぐに警告します。 NIDSは非常に人気があり、その多くが利用可能であるため、ニーズに最適なものを見つけることは困難な試みです。あなたを助けること、 ネットワークベースの最高の侵入検知システムのリストを集めました.

私たちは旅を始めますさまざまなタイプの侵入検知システム。基本的に、ネットワークベースとホストベースの2つのタイプがあります。それらの違いについて説明します。侵入検知システムは、使用する検知方法も異なります。署名ベースのアプローチを使用するものもあれば、行動分析に依存するものもあります。最適なツールは、両方の検出方法の組み合わせを使用します。市場は、侵入検知システムと侵入防止システムの両方で飽和しています。違いを理解することが重要であるため、それらがどのように異なるか、どのように似ているかを探ります。最後に、最高のネットワークベースの侵入検知システムを確認し、最も重要な機能を紹介します。

ネットワークベースとホストベースの侵入検知

侵入検知システムは2つのうちの1つですタイプ。両者は、侵入の試みまたは潜在的に侵入の試みにつながる不審なアクティビティを迅速に検出するという同一の目標を共有しますが、検出が実行される場所を示す実施ポイントの場所が異なります。各タイプの侵入検知ツールには長所と短所があります。どちらが望ましいかについては、実際のコンセンサスはありません。あるタイプを誓う人もいれば、他のタイプのみを信頼する人もいます。おそらくどちらも正しいでしょう。最適なソリューション、または最も安全なソリューションは、おそらく両方のタイプを組み合わせたものです。

ネットワーク侵入検知システム（NIDS）

侵入検知システムの最初のタイプはNetwork Intrusion Detection SystemまたはNIDSと呼ばれます。これらのシステムは、ネットワークの境界で動作して検出を実施します。ネットワークトラフィックを傍受して検査し、侵入の試みを示す可能性のある疑わしいアクティビティを探し、既知の侵入パターンを探します。侵入者は、さまざまなシステムの既知の脆弱性を悪用しようとすることがよくあります。たとえば、ホストに不正な形式のパケットを送信し、特定の方法で反応させて、侵入を許可します。ネットワーク侵入検知システムは、この種の侵入の試みを検知する可能性が最も高いでしょう。

ネットワーク侵入検知と主張する人もいますシステムは、システムに到達する前であっても攻撃を検出できるため、ホストベースのシステムよりも優れています。また、効果的に保護するために各ホストに何かをインストールする必要がないため、それらを好む傾向があります。一方、残念ながら、珍しいことではないインサイダー攻撃に対する保護はほとんどありません。攻撃者の侵入の試みが検出されるためには、内部から発信されたときにめったに行われないNIDSを通過する必要があります。テクノロジーには長所と短所があり、侵入検知の特定のケースであり、究極の保護のために両方のタイプのツールを使用することを妨げるものは何もありません。

ホスト侵入検知システム（HIDS）

ホスト侵入検知システム（HIDS）が動作するホストレベルで;名前から推測できたかもしれません。たとえば、不審なアクティビティの兆候がないか、さまざまなログファイルとジャーナルを監視します。侵入の試みを検出するもう1つの方法は、不正な変更がないかシステム構成ファイルをチェックすることです。また、特定の既知の侵入パターンについてこれらの同じファイルを調べることもできます。たとえば、特定の構成ファイルに特定のパラメーターを追加することにより、特定の侵入方法が機能することがわかっている場合があります。優れたホストベースの侵入検知システムがそれをキャッチします。

彼らの名前はあなたをすべてのHIDSは保護対象のデバイスに直接インストールされますが、必ずしもそうとは限りません。すべてのコンピューターにインストールする必要があるものもあれば、ローカルエージェントのインストールのみが必要なものもあります。エージェントなしですべての作業をリモートで行う人もいます。どのように動作しても、ほとんどのHIDSには、アプリケーションのすべてのインスタンスを制御し、すべての結果を表示できる中央コンソールがあります。

侵入検知方法

侵入検知システムの違いは、実施ポイントは、侵入の試みを検出するために使用する方法によっても異なります。署名ベースのものもあれば、異常ベースのものもあります。最初のものは、侵入の試みに関連付けられた特定のパターンのデータを分析することにより機能します。これは、ウイルス定義に依存する従来のウイルス保護システムに似ています。署名ベースの侵入検知は、侵入署名またはパターンに依存しています。キャプチャされたデータを侵入シグネチャと比較して、侵入の試みを識別します。もちろん、適切な署名がソフトウェアにアップロードされるまで機能しません。この署名は、特定の数のマシンが攻撃され、侵入署名の発行者が新しい更新パッケージを公開する時間がある場合にのみ発生することがあります。一部のサプライヤーは非常に高速ですが、他のサプライヤーは数日後にしか反応できませんでした。これは、この検出方法の主な欠点です。

異常ベースの侵入検知はより良い提供します侵入検知ソフトウェアが適切な署名ファイルを取得する前に発生するゼロデイ攻撃に対する保護。既知の侵入パターンを認識しようとするのではなく、異常を探します。たとえば、間違ったパスワードを使用してシステムに連続して数回アクセスしようとすると、ブルートフォース攻撃の一般的な兆候であるため、アラートがトリガーされます。これらのシステムは、ネットワーク上の疑わしいアクティビティをすばやく検出できます。各検出方法には長所と短所があり、2種類のツールと同様に、最良のツールはおそらくシグネチャと動作分析の組み合わせを使用するものです。

検出または予防？

一部の人々は間で混乱する傾向があります侵入検知および侵入防止システム。これらは密接に関連していますが、2つの機能は重複していますが、同一ではありません。名前が示すように、侵入検知システムは侵入の試みと疑わしい活動を検知します。何かを検出すると、通常、何らかの形のアラートまたは通知をトリガーします。侵入の試みを停止またはブロックするために必要な手順を実行するのは、管理者次第です。

侵入防止システム（IPS）が一歩前進さらに、侵入が完全に発生するのを防ぐことができます。侵入防止システムには、侵入試行が検出されるたびに何らかの自動修復アクションをトリガーする検出コンポーネント（機能的には侵入検出システムと同等）が含まれています。侵入の試みを止めるために人間の介入は必要ありません。侵入防止は、侵入を防止する方法として行われている、または配置されているすべてのことを指すこともできます。たとえば、パスワードの強化または侵入者のロックアウトは、侵入防止対策と考えることができます。

最高のネットワーク侵入検知ツール

最高の市場を検索しましたネットワークベースの侵入検知システム。このリストには、真のホストベースの侵入検知システムと、ネットワークベースの侵入検知コンポーネントを備えた、または侵入の試みを検知するために使用できる他のソフトウェアが混在しています。推奨される各ツールは、ネットワークへの侵入の試みを検出するのに役立ちます。

1. SolarWinds Threat Monitor – IT Opsエディション （無料デモ）

SolarWindsは、ネットワーク管理ツール。同社は約20年前から存在し、最高のネットワークおよびシステム管理ツールのいくつかをもたらしました。その主力製品であるネットワークパフォーマンスモニターは、最高のネットワーク帯域幅監視ツールの中で一貫して評価されています。 SolarWindsは優れた無料ツールも提供しており、それぞれがネットワーク管理者の特定のニーズに対応しています。 Kiwi Syslog ServerとAdvanced Subnet Calculatorは、これらの良い例です。

ネットワークベースの侵入検知のために、SolarWindsは 脅威モニター-IT Ops Edition。他のほとんどのSolarWindsツールとは異なり、これは1つは、ローカルにインストールされたソフトウェアではなく、クラウドベースのサービスです。単にサブスクライブし、設定するだけで、侵入の試みやその他のいくつかの種類の脅威がないか環境を監視し始めます。の 脅威モニター-IT Ops Edition いくつかのツールを組み合わせます。 ネットワークベースとホストベースの両方の侵入検知、ログの集中化と相関、セキュリティ情報とイベント管理（SIEM）があります。非常に徹底的な脅威監視スイートです。

• 無料デモ： SolarWinds Threat Monitor – IT Opsエディション
• 公式ダウンロードリンク： https://www.solarwinds.com/threat-monitor/registration

の 脅威モニター-IT Ops Edition 常に最新であり、常に更新されていますIPおよびドメイン評価データベースを含む複数のソースからの脅威インテリジェンス。既知および未知の脅威を監視します。このツールは、自動化されたインテリジェントな応答を特長としており、セキュリティインシデントを迅速に修正して、侵入防止のような機能を提供します。

製品のアラート機能はかなり印象的。ツールのアクティブレスポンスエンジンと連携して動作し、重要なイベントの識別と要約を支援する、複数条件の相互相関アラームがあります。レポートシステムはアラートと同じくらい優れており、既存の事前作成済みレポートテンプレートを使用してコンプライアンスを実証するために使用できます。または、ビジネスニーズに正確に適合するカスタムレポートを作成できます。

の価格 SolarWinds Threat Monitor – IT Opsエディション 10日で最大25ノードの$ 4 500から開始インデックスの。特定のニーズに合わせた詳細な見積もりについては、SolarWindsにお問い合わせください。製品の動作を確認したい場合は、SolarWindsから無料のデモをリクエストできます。

2. 鼻水

鼻水 確かに最も有名なオープンソースNIDSです。しかし 鼻水 実際には侵入検知ツール以上のものです。 また、パケットスニファーとパケットロガーであり、他にもいくつかの機能を備えています。ここでは、この投稿の主題であるため、ツールの侵入検知機能に集中します。製品の構成は、ファイアウォールの構成を連想させます。ルールを使用して構成されます。から基本ルールをダウンロードできます 鼻水 ウェブサイトをそのまま使用するか、特定のニーズに合わせてカスタマイズします。購読することもできます 鼻水 ルールの進化や新しい脅威の発見に応じて、最新のルールをすべて自動的に取得するルール。

ソート 非常に徹底的であり、その基本的なルールでさえステルスポートスキャン、バッファオーバーフロー攻撃、CGI攻撃、SMBプローブ、OSフィンガープリントなど、さまざまなイベントを検出します。このツールで検出できるものに実質的に制限はなく、検出するものはインストールするルールセットのみに依存します。検出方法に関しては、基本的なSnortルールの一部はシグネチャベースであり、その他は異常ベースです。したがって、Snortは両方の長所を提供できます。

3. すりかた

すりかた 侵入検知システムだけではありません。 また、いくつかの侵入防止機能も備えています。実際、完全なネットワークセキュリティ監視エコシステムとして宣伝されています。ツールの最高の資産の1つは、アプリケーション層までの動作方法です。これにより、ネットワークベースとホストベースのハイブリッドシステムとなり、他のツールが気付かないような脅威をツールで検出できるようになります。

すりかた ネットワークベースの真の侵入検知システムであり、アプリケーション層でのみ機能しません。 TLS、ICMP、TCP、UDPなどの低レベルのネットワークプロトコルを監視します。また、このツールはHTTP、FTP、SMBなどの高レベルのプロトコルを理解してデコードし、通常のリクエストでは隠されている侵入の試みを検出できます。このツールは、ファイル抽出機能も備えており、管理者は疑わしいファイルを調べることができます。

すりかたのアプリケーションアーキテクチャは非常に革新的です。 このツールは、いくつかのプロセッサコアとスレッドにワークロードを分散して、最高のパフォーマンスを実現します。必要に応じて、処理の一部をグラフィックカードにオフロードすることもできます。グラフィックカードは通常十分に使用されないため、サーバーでツールを使用する場合、これは優れた機能です。

4. ブロ ネットワークセキュリティモニター

の Broネットワークセキュリティモニター、別の無料のネットワーク侵入検知システム。このツールは、トラフィックロギングとトラフィック分析という2つのフェーズで動作します。 Suricataと同じように、 Broネットワークセキュリティモニター アプリケーション層の複数の層で動作します。これにより、スプリット侵入の試みをより適切に検出できます。の Broネットワークセキュリティモニターの分析モジュールは2つの要素で構成されています。 最初の要素はイベントエンジンと呼ばれ、ネットTCP接続やHTTP要求などのトリガーイベントを追跡します。次に、イベントは2番目の要素であるポリシースクリプトによって分析され、アラームをトリガーするかアクションを起動するかを決定します。アクションを起動する可能性により、 Broネットワークセキュリティモニター IPSのような機能。

の Broネットワークセキュリティモニター HTTP、DNS、およびFTPアクティビティを追跡できますまた、SNMPトラフィックも監視します。 SNMPはネットワーク監視によく使用されますが、安全なプロトコルではないため、これは良いことです。また、構成の変更にも使用できるため、悪意のあるユーザーに悪用される可能性があります。このツールでは、デバイス構成の変更とSNMPトラップも監視できます。 Unix、Linux、OS Xにインストールできますが、Windowsでは利用できません。これはおそらく主な欠点です。

5. セキュリティオニオン

何を定義するのは難しい セキュリティオニオン です。 単なる侵入検知または侵入防止システムではありません。実際には、侵入検知、エンタープライズセキュリティモニタリング、およびログ管理に重点を置いた完全なLinuxディストリビューションです。そのため、管理者の時間を大幅に節約できます。これには多くのツールが含まれており、そのうちのいくつかはレビューしたばかりです。 Security Onionには、Elasticsearch、Logstash、Kibana、Snort、Suricata、Bro、OSSEC、Sguil、Squart、NetworkMinerなどが含まれます。すべてを簡単に設定できるように、ディストリビューションには使いやすいセットアップウィザードがバンドルされており、数分で組織を保護できます。記述しなければならなかった場合 セキュリティオニオン 一言で言えば、それはエンタープライズITセキュリティのスイスアーミーナイフであると言えます。

これに関する最も興味深いことの1つツールは、すべてを1つの簡単なインストールで取得することです。侵入検知の場合、このツールはネットワークベースとホストベースの両方の侵入検知ツールを提供します。このパッケージは、シグネチャベースのアプローチを使用するツールと異常ベースのツールも組み合わせています。さらに、テキストベースのツールとGUIツールの組み合わせがあります。セキュリティツールには本当に素晴らしい組み合わせがあります。 Security Onionには1つの主な欠点があります。非常に多くのツールが含まれているため、それらをすべて設定することはかなりの作業になる可能性があります。ただし、すべてのツールを使用して構成する必要はありません。使用するものだけを自由に選択できます。付属のツールをいくつか使用するだけでも、それらを個別にインストールするよりも速いオプションになる可能性があります。