niftyshell
Goto Top

Gängige Host-basierte Intrusion Detection Systeme

Hallo zusammen,

Als Neuling in der Community komme ich direkt mit einer Frage an die Admins. Ich bin an Statistiken und/oder gute Referenzen zu gängigen Host-basierten Intrusion Detection Systemen auf Linux-Servern interessiert. Konnte zu dem Thema nicht viel brauchbares finden und widme mich hier deswegen an die Admins unter euch.

Gibt es eine Empfehlung von jemandem mit Erfahrung, der solche Systeme idealerweise eingesetzt hat? Es wäre hilfreich zu sehen, welche HIDS verwendet werden. Dabei ist sowohl der Einsatz auf einzelnen Webserver-Servern als auch im Verbund aus Servern interessant. Würde mich freuen, wenn es hierzu Feedback gibt.

Schöne Grüßen,
niftyshell

Content-ID: 6729610455

Url: https://administrator.de/forum/gaengige-host-basierte-intrusion-detection-systeme-6729610455.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

Der-Phil
Der-Phil 12.04.2023 um 14:49:41 Uhr
Goto Top
Hallo!

Die Definition von HIDS finde ich immer etwas schwer. Was auf jeden Fall in Frage kommt wäre Wazuh/Ossec.
Eventuell zählt aber auch SentinelOne und andere EPP/EDR-Systeme dazu, wie z.B. Rapid7 Insight IDR.
niftyshell
niftyshell 13.04.2023 aktualisiert um 17:15:00 Uhr
Goto Top
Hallo Der-Phil,
danke für die Antwort. Hast du eventuell mit einem der genannten Systemen schon Erfahrung?

Es sollen am besten Systeme sein, die nicht von Cloud-Anbietern angeboten werden, sondern etwas, das man bei deployen kann. Ossec scheint in die richtige Richtung zu gehen.
Der-Phil
Der-Phil 17.04.2023 um 10:19:20 Uhr
Goto Top
Ich beschäftige mich gerade selbst etwas mit Wazuh aus genau den genannten Gründen. Bisher ist das aber noch recht dürftig, was ich dazu an Erfahrungen beitragen kann.

Ossec scheint mir durch Wazuh "abgelöst" worden zu sein. Der Fork ist wohl deutlich aktiver.

Rapid7 fällt damit bei Dir raus, da "Cloud-Only"...
niftyshell
niftyshell 18.04.2023 um 14:33:56 Uhr
Goto Top
Danke für die Info. Bei Wiki gibt es eine Liste, die ich gefunden habe. Da wird OSSEC und Wazuh beides getrennt geführt. Wäre halt schön noch mehr Feedback zu bekommen von Leuten, die sich damit aktiv befassen.

Rapid7 fällt raus, genau.