Рекомендовать альтернативу tripwire?
Ищем IDS на основе хоста, сравнимую с tripwire. Предпочтительно тот, который позволяет централизованное управление. Прямо сейчас я использую tripwire, и хотя он работает, управление и отчетность через центральный сервер были бы идеальными. Я ищу рекомендации, которые на самом деле были использованы, а не только результаты Google. Спасибо!
4 ответа
Мы используем OSSEC в качестве HIDS и Splunk для анализа результатов. OSSEC обеспечивает:
- Целостность файла
- Мониторинг журнала
- Обнаружение руткитов
- Анализ конфигурации
Существует бесплатное приложение Splunk под названием Splunk для OSSEC, которое прекрасно работает для управления оповещениями OSSEC (есть информационные панели, запросы и т. Д.). Мы используем бесплатный Splunk.
Вы также можете использовать OSSEC WebUI, но он гораздо более ограничен.
Чтобы дать вам представление о том, как оно есть, взгляните на этот скриншот.
OSSec предоставляет IDS, похожий на Tripwire, среди прочего мониторинга хоста. Он управляется централизованно, все журналы поступают в один коллектор. Если у вас есть запасной сервер, вы также можете использовать OSSim, который предоставляет IDS, а также инструменты для мониторинга сети и тестирования на проникновение.
Если вы используете системы Windows, хорошей альтернативой Tripwire является Verisys. Как и Tripwire, он осуществляет мониторинг целостности файлов и имеет центральную консоль администрирования для отчетов и т. Д., Но его намного проще использовать, чем Tripwire. И дешевле:)
Это только Windows, так что не стоит использовать, если вы используете Linux...
Попробуйте Prelude ( http://www.prelude-technologies.com/en/development/community/index.html). Я тоже хотел это проверить, кажется, он намного лучше, чем обычный HIDS.