IDS IPS-Lösungen Erfahrungen
Hallo,
weil das Thema gerade bei mir im Hause hoch aktuell ist, wollte ich mal in die Runde fragen, was bei euch anderen im Einsatz ist und was die Erfahrungen mit den Systemen sind?
Es ist schwierig die Systeme miteinander zu vergleichen und eine Auswahl zu treffen. Manche haben weniger Features als andere, oder verfolgen ein ganz anderes Konzept. Dazu kommt noch das man in einem geeigneten Zeitrahmen kaum bis gar keine Übersicht oder Testerfahrungen gewinnen kann, da alles nur über Teststellungen geht. Bis man etwas verwertbares erhält und sich durch das Marketing-Blabla gewühlt hat, vergehen mitunter Monate.
Aber ganz verzichten kann man eigentlich nicht mehr drauf, selbst mit den präventiven Maßnahmen werden die Angriffe immer schneller und ausgefeilter. Das Problem was ich sehe, hat man sich einmal entschieden, ist das wie ein Vertrag auf Lebenszeit.
Wir haben bisher zwei Systeme getestet:
Hat jemand andere Systeme im Einsatz und kann berichten? Hat jemand Erfahrungen zu Sentinel One, Mandiant, Fortinet FortiGuard, Checkpoint, Cisco Stealthwatch?
Grüße
weil das Thema gerade bei mir im Hause hoch aktuell ist, wollte ich mal in die Runde fragen, was bei euch anderen im Einsatz ist und was die Erfahrungen mit den Systemen sind?
Es ist schwierig die Systeme miteinander zu vergleichen und eine Auswahl zu treffen. Manche haben weniger Features als andere, oder verfolgen ein ganz anderes Konzept. Dazu kommt noch das man in einem geeigneten Zeitrahmen kaum bis gar keine Übersicht oder Testerfahrungen gewinnen kann, da alles nur über Teststellungen geht. Bis man etwas verwertbares erhält und sich durch das Marketing-Blabla gewühlt hat, vergehen mitunter Monate.
Aber ganz verzichten kann man eigentlich nicht mehr drauf, selbst mit den präventiven Maßnahmen werden die Angriffe immer schneller und ausgefeilter. Das Problem was ich sehe, hat man sich einmal entschieden, ist das wie ein Vertrag auf Lebenszeit.
Wir haben bisher zwei Systeme getestet:
- Snort - ohne Subscriber-Rules quasi nicht verwendbar, da sonst der Verwaltungsaufwand zu hoch ist, häufige False-Positive Meldungen. Als reines IDS in Kombination mit Traffic-Visualisierung bekommt man schon einen guten Überblick, dafür nicht schlecht, aber ist doch sehr statisch.
- Darktrace - eigene Hardware Appliance. KI-Unterstützt. Sehr transparent integrierbar. Skalierbarkeit im Netz eigentlich ok, VMsensoren sind kostenlos. Großer Nachteil: Kann nur mit Mirroring TAP eingebunden werden, keine richtige Mail-Secruity und wenn dann nur für Google/Exchange, Kosten.
Hat jemand andere Systeme im Einsatz und kann berichten? Hat jemand Erfahrungen zu Sentinel One, Mandiant, Fortinet FortiGuard, Checkpoint, Cisco Stealthwatch?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7176826661
Url: https://administrator.de/forum/ids-ips-loesungen-erfahrungen-7176826661.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
11 Kommentare
Neuester Kommentar
Für SO "Josephus" fragen...
Sentinel One - können YARA und SNORT Rules verwendet werden?
Sentinel One - können YARA und SNORT Rules verwendet werden?
Moin,
wir haben folgende Hersteller im Einsatz:
Wobei die Firewalls immer nur den groben Schmutz abfangen sollen und evtl. Zero Day Exploits zu entgehen. Ausschließlich Signaturen von den jeweiligen Herstellern. Alles andere Regeln wir an den Web Application Firewalls (WAFs) im Detail und da auch mit benutzerdefinierten Regeln.
Gruß,
Dani
wir haben folgende Hersteller im Einsatz:
- Barracuda NG Firewall
- Fortinet
- Palo Alto
Wobei die Firewalls immer nur den groben Schmutz abfangen sollen und evtl. Zero Day Exploits zu entgehen. Ausschließlich Signaturen von den jeweiligen Herstellern. Alles andere Regeln wir an den Web Application Firewalls (WAFs) im Detail und da auch mit benutzerdefinierten Regeln.
Gruß,
Dani
IPS läuft bei uns integriert über eine Watchguard - IDS über IRMA mit Anbindung an einen Kontaktschalter für Alarmierungen.
Die Watchguard bestand schon vorher als klassische Firewall, aufgrund des BSI und deren Vorgaben kam anschließend noch die IRMA hinzu. Die Einrichtung war aber relativ überschaubar. Inbetrieb nehmen, eine Weile scannen und anschließend die bekannten Einträge bestätigen.
So lernt das System.
Die Watchguard bestand schon vorher als klassische Firewall, aufgrund des BSI und deren Vorgaben kam anschließend noch die IRMA hinzu. Die Einrichtung war aber relativ überschaubar. Inbetrieb nehmen, eine Weile scannen und anschließend die bekannten Einträge bestätigen.
So lernt das System.
Laut unserem Stand (wir haben beim BSI nachgefragt), können/dürfen Sie uns kein System empfehlen, sie haben uns aber viel Glück bei der Umsetzung gewünscht.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
Wie bereits gesagt, nutzen wir hier das System von Videc - Kostenpunkt ca. 10k € pro Jahr.
https://videc.de/produkte/irma-cybersecurity-risikomanagement-intrusion- ...
Ob sinnvoll oder nicht sei mal dahin gestellt. Bei uns leider Vorgabe und wir mussten das umsetzen.
Open Source werfe ich mal noch Wazuh in den Raum. Auch hier lässt sich einiges auslesen.
Zitat von @Fenris14:
Das ist schon eher ein Lizenzmodell das mir gefällt. Also wenn man pro Standort am Core den kompletten Traffic spiegelt, z.B. 5 Standorte, bezahlt man 50k pro Jahr und es ist egal wieviele Rechner sich dabei im Netz tummeln. Das finde ich ok.
Das ist schon eher ein Lizenzmodell das mir gefällt. Also wenn man pro Standort am Core den kompletten Traffic spiegelt, z.B. 5 Standorte, bezahlt man 50k pro Jahr und es ist egal wieviele Rechner sich dabei im Netz tummeln. Das finde ich ok.
Falsch, bei den 10K pro Jahr handelt es sich um zwei Ports - ergo 5k pro Port/Jahr
Danke für den Tipp mit Wazuh, das sieht sehr vielversprechend aus. Werde testen.
Für unsere Office-IT sehr zu empfehlen, der Client wird einfach per MSI gepusht. Über das Webinterface können dann verschiedene Daten ausgelesen und auch Alarme definiert werden.