niftyshell
Goto Top

Gängige Host-basierte Intrusion Detection Systeme

Hallo zusammen,

Als Neuling in der Community komme ich direkt mit einer Frage an die Admins. Ich bin an Statistiken und/oder gute Referenzen zu gängigen Host-basierten Intrusion Detection Systemen auf Linux-Servern interessiert. Konnte zu dem Thema nicht viel brauchbares finden und widme mich hier deswegen an die Admins unter euch.

Gibt es eine Empfehlung von jemandem mit Erfahrung, der solche Systeme idealerweise eingesetzt hat? Es wäre hilfreich zu sehen, welche HIDS verwendet werden. Dabei ist sowohl der Einsatz auf einzelnen Webserver-Servern als auch im Verbund aus Servern interessant. Würde mich freuen, wenn es hierzu Feedback gibt.

Schöne Grüßen,
niftyshell

Content-Key: 6729610455

Url: https://administrator.de/contentid/6729610455

Printed on: July 24, 2024 at 15:07 o'clock

Member: Der-Phil
Der-Phil Apr 12, 2023 at 12:49:41 (UTC)
Goto Top
Hallo!

Die Definition von HIDS finde ich immer etwas schwer. Was auf jeden Fall in Frage kommt wäre Wazuh/Ossec.
Eventuell zählt aber auch SentinelOne und andere EPP/EDR-Systeme dazu, wie z.B. Rapid7 Insight IDR.
Member: niftyshell
niftyshell Apr 13, 2023 updated at 15:15:00 (UTC)
Goto Top
Hallo Der-Phil,
danke für die Antwort. Hast du eventuell mit einem der genannten Systemen schon Erfahrung?

Es sollen am besten Systeme sein, die nicht von Cloud-Anbietern angeboten werden, sondern etwas, das man bei deployen kann. Ossec scheint in die richtige Richtung zu gehen.
Member: Der-Phil
Der-Phil Apr 17, 2023 at 08:19:20 (UTC)
Goto Top
Ich beschäftige mich gerade selbst etwas mit Wazuh aus genau den genannten Gründen. Bisher ist das aber noch recht dürftig, was ich dazu an Erfahrungen beitragen kann.

Ossec scheint mir durch Wazuh "abgelöst" worden zu sein. Der Fork ist wohl deutlich aktiver.

Rapid7 fällt damit bei Dir raus, da "Cloud-Only"...
Member: niftyshell
niftyshell Apr 18, 2023 at 12:33:56 (UTC)
Goto Top
Danke für die Info. Bei Wiki gibt es eine Liste, die ich gefunden habe. Da wird OSSEC und Wazuh beides getrennt geführt. Wäre halt schön noch mehr Feedback zu bekommen von Leuten, die sich damit aktiv befassen.

Rapid7 fällt raus, genau.