ネット管理者

2022 年向けの 9 つのベスト IPS ソフトウェア ツールとガイド

最高の IPS ツール



侵入防止システム、 としても知られているIPS、会社のデータと IT リソースを継続的に保護します。これらのセキュリティ システムは組織内で機能し、企業が実施する従来のセキュリティ対策の盲点を補います。 ファイアウォール およびウイルス対策システム。

ネットワークの境界を保護すると、多数のハッカー攻撃を防ぐことができます。ファイアウォールとウイルス対策ソフトウェアのインストールは依然として重要です。これらの保護手段は、悪意のあるコードがネットワークに侵入するのを防ぐのに非常に効果的です。しかし、彼らは非常に成功を収めているので、ハッカーは企業のコンピューティング インフラストラクチャにアクセスする別の方法を見つけました



最高の IPS ツールのリストは次のとおりです。

  1. Datadog のリアルタイム脅威監視 編集者の選択クラウドベースのネットワーク監視と SIEM システムを組み合わせたもので、連携してネットワーク パフォーマンスを監視しながら、内部関係者の脅威や侵入者を示す可能性のある異常な動作も検出します。 14 日間の無料トライアルを開始してください。
  2. SolarWinds セキュリティ イベント マネージャー (無料トライアル)この強力なセキュリティ ツールは、ネットワーク ベースとホスト ベースの両方の侵入検出方法を使用して、予防措置を講じます。プリインストールされたプリセットを使用すると、すぐに使い始めることができます。 Windows Server またはクラウド経由でインストールします。 30 日間の無料トライアルを開始してください。
  3. CrowdStrike Falcon XDR (無料トライアル) このセキュリティ パッケージは、脅威の検出と自動応答を提供します。これは、デバイスベースのエージェントを備えたクラウドベースのシステムです。 15 日間の無料トライアルを開始してください。
  4. スプランク侵入防止機能を備えた、広く使用されているネットワーク分析ツール。 Windows、Linux、およびクラウドで利用できます。
  5. サガンイベント データのログ ファイルをマイニングする無料の侵入防御システム。 Unix、Linux、および Mac OS にインストールされますが、Windows システムからログ メッセージを収集できます。
  6. OSSECオープンソースの HIDS セキュリティは高く評価されており、無料で使用できます。 Windows、Linux、Mac OS、Unix 上で動作しますが、ユーザー インターフェイスは含まれていません。
  7. WIPS-NGを開くワイヤレス ネットワークへの侵入を検出する、Linux 用のオープンソース コマンド ライン ユーティリティ。
  8. フェイル 2 バンコマンド ラインで実行され、Linux、Unix、および Mac OS で利用できる無料の軽量 IPS。
  9. なれライブ交通データに基づいて動作するネットワークベースの侵入検知システム。このツールは Linux、Unix、Mac OS にインストールされ、無料で使用できます。

セキュリティの弱点

どのようなシステムも、その最も弱い部分の強さによって決まります。ほとんどの IT セキュリティ戦略では、弱点はシステムの人的要素にある。強力なパスワードを使用してユーザー認証を強制することもできますが、ユーザーがパスワードを書き留めて、そのメモをネットワークにアクセスできるデバイスの近くに保管している場合は、わざわざユーザー認証を強制しないほうがよいでしょう。



ハッカーが企業の従業員をターゲットにして、ログインの詳細を漏らすように騙す方法は数多くあります。

フィッシング

フィッシング が一般的になってきました。誰もが、銀行や eBay、PayPal、Amazon などの取引プラットフォームからの警告メールに警戒するようになりました。フィッシングキャンペーンには以下が含まれますオンライン サービスからの偽の Web ページ。ハッカーは、インターネットで購入したリストにあるすべてのメールに一斉にメールを送信します。これらの電子メール アドレスがすべて、模倣されたサービスの顧客に属しているかどうかは関係ありません。連絡を受けている人の中に、騙された Web サイトのアカウントを持っている人がいる限り、ハッカーにチャンスはあります。

フィッシングの試みでは、被害者には電子メール内のリンクが表示されますこれにより、模倣サービスの通常の入力画面に似た偽のログイン ページが表示されます。被害者がログインしようとすると、そのユーザー名とパスワードがハッカーのデータベースに入り、何が起こったのかユーザーが気づかないうちにアカウントが侵害されてしまいます。

スピアフィッシング

ハッカーはフィッシング詐欺で会社の従業員をターゲットにします。彼らも練習します スピアフィッシング 、これはフィッシングよりも少し高度です。スピア フィッシングでは、偽の電子メールとログイン ページがハッキングされた企業のサイトのように特別に設計され、電子メールは特にその企業の従業員に向けられます。スピア フィッシングの試みは、侵入の試みの第 1 段階としてよく使用されます。ハッキングの最初のパスは、会社の従業員の一部について詳細を知ることです。

文書送信

スピア フィッシングの段階で収集された情報は、ソーシャル メディア ページを調べたり、経歴の詳細を調べたりすることで、個人に関する調査と組み合わせることができます。この対象を絞った研究はと呼ばれます 暴露 。収集した情報をもとに、ターゲットを絞ったハッカーはビジネスの主要人物のプロフィールを構築し、それらの人物と企業の他の担当者との関係をマッピングすることができます。

ドクサーは、ある従業員をうまく模倣するために十分な情報を取得することを目指します。。このアイデンティティにより、彼は標的となった会社の他の人々からの信頼を得ることができます。これらのトリックにより、ハッカーは会社の会計スタッフ、幹部、IT サポート スタッフの動向を知ることができます。

捕鯨

ハッカーがさまざまなスタッフ メンバーの信頼を獲得すると、社内の誰からでもログイン情報をだますことができます。自信があり、ビジネスで人々が協力する方法についての知識があれば、詐欺師は次のようなこともできます。多額のお金を盗む会社からはシステムにログインする必要さえありません。偽の送金の命令は電話で行うことができます。ビジネスの主要な人材をターゲットにするこのことは、 捕鯨

攻撃戦略

ハッカーは、ファイアウォールやウイルス対策ソフトウェアを回避するために、フィッシング、スピア フィッシング、doxxing、捕鯨を利用する方法を学びました。ハッカーが管理者パスワードを持っている場合、次のことができます。ソフトウェアのインストール、ユーザー アカウントの設定、セキュリティ プロセスの削除ネットワーク全体、その機器、サーバー、データベース、アプリケーションに妨げられることなくアクセスできます。

これらの新しい攻撃戦略は非常に一般的になったため、企業のネットワーク セキュリティ管理者は次のような防御を計画する必要があります。 システム境界のセキュリティ対策が侵害されたと想定する

近年では、高度な持続的脅威(APT)はハッカーにとって一般的な戦略となっています。このシナリオでは、ハッカーは企業ネットワークに何年もアクセスできる、自由にデータにアクセスし、会社のリソースを使用して、会社のゲートウェイを介してカバー VPN を実行します。ハッカーは、仮想通貨マイニングなどの集中的な活動に会社のサーバーを使用することもできます。

以降、APT は検出されなくなります。ハッカーは許可されたユーザーとしてシステム内にいますまた、彼の悪意のある活動を示すログ記録は必ず削除します。これらの対策は、たとえ侵入が検知されたとしても、侵入者を追跡して起訴することが依然として不可能な可能性があることを意味します。

侵入検知システム

侵入防御システムの重要な要素は、 侵入検知システム (IDS)。 IDS は、異常なアクティビティを探すように設計されています。一部の検出方法は、ファイアウォールやウイルス対策ソフトウェアで採用されている戦略を模倣しています。これらはと呼ばれます シグネチャベースの検出 メソッド。彼らはデータ内のパターンを探して、侵入者の活動の既知の指標を特定します。

2 番目の IDS メソッドが呼び出されます異常ベースの検出。この戦略では、監視ソフトウェアは、ユーザーまたはソフトウェアの動作の論理パターンに適合しない、または特定のユーザーに期待される職務のコンテキストで検査した場合に意味をなさない異常なアクティビティを探します。たとえば、人事部のユーザーがネットワーク デバイスの構成を変更するためにログインしているとは予想できません。

侵入者は必ずしも部外者である必要はない。従業員がアクセスが必要と予想される施設を超えて探索することにより、ネットワークのエリアに侵入される可能性があります。もう 1 つの問題は、データや施設への許可されたアクセスを悪用して、データや施設を破壊したり盗んだりする従業員にあります。

侵入防止

侵入防御システムは最大限に機能します。」遅刻しないよりはマシ」理想的には、部外者がシステムに不正にアクセスできないようにする必要があります。ただし、上で説明したように、これは完璧な世界ではなく、ハッカーが承認されたユーザーを騙して資格情報を提供させるために利用できる多くの欠点があります。

具体的には、侵入防止システムは次のとおりです。侵入検知システムの拡張。 IPS は、不審なアクティビティが特定されると行動します。そのため、侵入が発見された時点で、システムの完全性にはすでに何らかの損害が生じている可能性があります。

IPS は、脅威をシャットダウンするためのアクションを実行できます。これらのアクションには次のものが含まれます。

  • ストレージからログファイルを復元する
  • ユーザーアカウントの一時停止
  • IPアドレスのブロック
  • プロセスを強制終了する
  • システムのシャットダウン
  • プロセスの起動
  • ファイアウォール設定の更新
  • 不審なアクティビティの警告、記録、報告

これらのアクションの多くを可能にする管理タスクの責任は、必ずしも明確ではありません。たとえば、暗号化によるログ ファイルの保護と、改ざん後に復元できるようにログ ファイルをバックアップする 2 つの脅威保護アクティビティは、通常、侵入検知システム タスクとして定義されます。

侵入防御システムの限界

どのような IT システムにも潜在的な弱点は数多くありますが、IPS は侵入者をブロックするのに非常に効果的ではありますが、すべての潜在的な脅威を遮断するように設計されていない。たとえば、一般的な IPS には、ネットワーク デバイスのソフトウェア パッチ管理や構成制御が含まれていません。 IPS はユーザー アクセス ポリシーを管理したり、従業員が企業文書をコピーしたりすることを禁止しません。

IDS と IPS は、侵入者がネットワーク上で活動を開始した場合にのみ脅威を修復します。ただし、これらのシステムは、情報とリソースを保護するための一連のネットワーク セキュリティ対策の要素を提供するためにインストールする必要があります。

最高の侵入防御システム

現在、非常に多くの IPS ツールが利用可能です。これらの多くは無料です。ただし、市場にあるすべての IPS を研究して試してみるには、長い時間がかかります。これが、私たちが侵入防御システムに関するこのガイドをまとめた理由です。

IPS ツールを選択するための方法論

私たちは IPS 市場を調査し、次の基準に基づいてツールを分析しました。

  • フィッシングなど、電子メールに関連付けられた詐欺行為を検出する手順
  • 自動化された攻撃軽減手順
  • 他のITセキュリティシステムと連携する機能
  • ユーザーが自動応答を許可するための設定
  • 履歴分析用のデータ ストレージとダッシュボードの分析ツール
  • IPS 自身のプロセスとログに対する攻撃保護
  • 無料、デモ、トライアル、または返金保証
  • 価格に見合った価値

1. Datadog リアルタイム脅威監視 (無料トライアル)

Datadog セキュリティ監視 - メイン ダッシュボード

Datadog のリアルタイム脅威モニタリングネットワーク監視システムの一部であり、以下が含まれます。 組み込みの脅威検出プラットフォーム 。 Datadog は、ネットワークとデバイスの監視、アプリケーションの監視、Web パフォーマンスの監視をカバーするモジュールで提供されるクラウドベースのサービスです。

主な特徴:

  • クラウドベース
  • ネットワーク脅威の監視
  • クラウドセキュリティ体制の管理
  • クラウドワークロードセキュリティ

ネットワーク トラフィック モニターのセキュリティ機能は、以下に基づいています。 脅威検出ルール 。これらは提供されていますが、新しいルールを作成することも可能です。これらは、システムが監視するトラフィックのパターンを確立し、ルールで記述されているイベントの組み合わせの 1 つが検出されると、サービスがアラートをトリガーします。サービスには以下も含まれます セキュリティルール これは脅威検出ルールに似ていますが、複数の異なるデータ ソースでの検索を指定します。

Datadog セキュリティ監視 - セキュリティ構成検出ルール

長所:

  • ネットワークおよびインターネットリンク全体でのライブアクティビティ追跡
  • 手動分析と脅威の特定のための分析ツール
  • クラウドセキュリティオプションのメニュー
  • オンプレミスとクラウド システムを保護する
  • 統合された脅威ハンティング
  • 規格準拠に合わせたカスタマイズ

短所:

  • 単一の製品ではなくサービスの集合体

Security Monitoring サービスは、Datadog の標準のインフラストラクチャ監視モジュールまたはネットワーク パフォーマンス監視モジュールへのアドオンであり、分析データの GB ごとに価格が設定されます。 Datadog が提供するのは、14日間の無料トライアルセキュリティ監視サービスのこと。

編集者の選択

Datadog リアルタイム脅威モニタリングが私たちの一番の選択ですIPS ソリューションでは、プラットフォームをまたがるセキュリティ ポリシーを設定できるため、データ損失防止と脅威検出の手順により、オフサイト リソースにアクセスする必要があるユーザーがブロックされなくなります。 Datadog プラットフォームは、分散したリソースとユーザーの周囲に目に見えない境界線を引いて、統一された監視スペースを作成できます。この仮想環境は、自動応答を含む SIEM ベースの技術を通じて、データの整合性とプライバシーに対する脅威を追跡し、企業が準拠する必要がある標準を遵守できるようにすることができます。このツールは柔軟性があり、統合されたパフォーマンスとセキュリティの監視を実装するために APM やネットワーク モニターなどの他のモジュールを統合するオプションを使用して拡張可能です。

ダウンロード:14 日間の無料トライアルを開始する

オフィシャルサイト:https://www.datadoghq.com/threat-monitoring/

あなた:クラウドベース

2. SolarWinds セキュリティ イベント マネージャー(無料トライアル)

SolarWinds セキュリティ イベント マネージャー - ダッシュボードのスクリーンショット

SolarWinds セキュリティ イベント マネージャー名前が示すように、ログ ファイルへのアクセスを制御します。ただし、このツールにはネットワーク監視機能もあります。ソフトウェア パッケージにはネットワーク監視機能は含まれていませんが、ネットワーク データ収集用の無料ツール Snort を使用してこの機能を追加できます。この設定により、侵入に関して 2 つの視点が得られます。 IDS が使用する検出戦略には 2 つのカテゴリがあります。ネットワークベースとホストベース

主な特徴:

  • あなた
  • ログサーバーとログファイルマネージャー
  • ネットワーク データをフィードする
  • イベント相関ルール
  • 脅威を修復するための積極的な対応

ホストベースの侵入検知システムは、ログ ファイルに含まれるレコードを検査します。ネットワークベースのシステムはライブデータ内のイベントを検出します。

侵入の兆候を検出するための手順は、SolarWinds ソフトウェア パッケージに含まれています。これらはイベント相関ルールと呼ばれます。侵入の検出のみを行い、脅威を手動でブロックするためにシステムを離れることもできます。 SolarWinds Security Event Manager の IPS 機能をアクティブにして、脅威の修復を自動的に実行することもできます。

SolarWinds Security Event Manager - イベント監査のスクリーンショット

SolarWinds Security Event Manager の IPS セクションは、脅威が検出されたときにアクションを実装します。これらのワークフローは次のように呼ばれます。アクティブな応答。応答は特定のアラートにリンクできます。たとえば、このツールはファイアウォール テーブルに書き込み、ネットワーク上で不審な行為を実行していると識別された IP アドレスへのネットワーク アクセスをブロックできます。ユーザー アカウントを一時停止したり、プロセスを停止または開始したり、ハードウェアやシステム全体をシャットダウンしたりすることもできます。

SolarWinds Security Event Manager - ログ転送のスクリーンショット

SolarWinds Security Event Manager は次の場所にのみインストールできます。Windowsサーバー。ただし、そのデータ ソースは Windows ログに限定されず、次から脅威情報を収集することもできます。ユニックスそしてLinuxネットワーク経由でホスト Windows システムに接続されているシステム。

長所:

  • イベント検出のためのログ検索
  • Windows イベント、Syslog、およびアプリケーション ログを収集します
  • 自動化された脅威検出検索
  • 自動化された脅威の修復
  • ライブスキャンとオンデマンド監査

短所:

  • SaaS版ではありません

得られる30日間の無料トライアルSolarWinds セキュリティ イベント マネージャー自分でテストしてください。

SolarWinds セキュリティ イベント マネージャーには、インストール時に数百の相関ルールが付属しており、不審な動作をリアルタイムで警告します。ログ データの正規化により、新しいルールを設定するのが非常に簡単になります。私たちは、潜在的なネットワーク脆弱性を特定する際に最前列に座れる新しいダッシュボードを特に気に入っています。

ダウンロード:30 日間の無料トライアルを入手

オフィシャルサイト:Solarwinds.com/security-event-manager

あなた:Windows 10、Windows Server 2012 以降、クラウドベース: ハイパーバイザー、AWS、MS Azure

3. CrowdStrike Falcon XDR (無料トライアル)

クラウドストライク ファルコン XDR

クラウドストライク ファルコン XDR は、サードパーティのセキュリティ ツールとの対話が追加されたエンドポイントの検出および応答システムです。システムが使用するのは、 セキュリティのオーケストレーション、自動化、および対応 (SOAR) を使用して、脅威ハンティングと脅威の軽減の両方を向上させます。

主な特徴:

  • ハイブリッドシステム
  • オンプレミスのセキュリティ ツールを調整します
  • 脅威への対応を調整します

クラウドストライク ファルコン はセキュリティ モジュールのクラウド プラットフォームであり、XDR は SaaS システム上の他のいくつかの製品上に構築されています。 1 つ目は、と呼ばれるエンドポイント保護システムです。 CrowdStrike Falcon Prevent – 次世代のアンチウイルス。 Prevent ツールは各エンドポイントにインストールされます。このシステムには次のバージョンがあります ウィンドウズマックOS 、 そして Linux 。このシステムは、ネットワークがダウンした場合でもエンドポイントを保護し続けることができます。

XDR ソリューションの次の層は次のとおりです。 ファルコンインサイト 。これは、企業内の各 Falcon Prevent インストールのアクティビティを調整するエンドポイント検出および応答 (EDR) システムです。これにより、システム全体のビューが提供され、プライベートな脅威インテリジェンス ネットワークが構築されます。 Falcon Insight のクラウド モジュールは、各 Falcon Prevent インスタンスからアクティビティ データを受信し、これらのフィードをプールし、スキャンを実行します。 妥協の兆候 (IoC)。脅威が検出された場合、Insight は Prevent ユニットに修復指示を送り返します。

長所:

  • 追加機能によるエンドポイントの検出と応答
  • セキュリティのオーケストレーション、自動化、および対応
  • デバイスがネットワークから隔離されてもエンドポイント保護は継続します

短所:

  • すべてのエンドポイントに Falcon PEvent をインストールする必要があります

ファルコン XDR SOAR を追加します。これは、サードパーティのツールや、Falcon Prevent サービスを利用できないスイッチやルーターなどの保護されていないデバイスからイベント データを収集できることを意味します。このシステムは、ファイアウォールなどの Falcon 以外の製品に指示を送信することもできます。を開始します15日間の無料トライアル

CrowdStrike Falcon XDR 15 日間の無料トライアルを開始

4.スプランク

Splunk Enterprise 8.0 のスクリーンショット

Splunk は、侵入検知機能と IPS 機能を備えたネットワーク トラフィック アナライザーです。

主な特徴:

  • 柔軟なデータ処理ツール
  • SIEMオプション
  • 自動応答

Splunk には 4 つのエディションがあります。

Splunk Cloud を除くすべてのバージョンが実行されます。ウィンドウズそしてLinux。 Splunk Cloud は、サービスとしてのソフトウェアインターネット上の (SaaS) ベース。 Splunk の IPS 機能は、Enterprise エディションと Cloud エディションにのみ含まれています。検出システムは、ネットワーク トラフィックとログ ファイルの両方で動作します。この検出方法は、予期しない動作のパターンである異常を検索します。

長所:

  • さまざまなデータ分析機能に最適
  • 専門的な脅威ハンティング モジュール
  • オンプレミスかSaaSの選択

短所:

  • 無料版は 60 日間のみ有効になりました

Splunk Enterprise Security アドオンを選択すると、より高いレベルのセキュリティが得られます。これは以下で入手可能です 7日間の無料トライアル 。このモジュールは、AI を使用して異常検出ルールを強化し、侵入修復のための実行可能なアクションをさらに追加します。

5. サガン

QuadrantSec Sagan ダッシュボード

サガンは 無料の侵入検知ソフトウェア システム スクリプト実行機能を備えています。アクションをアラートに接続する機能により、これが IPS になります。

主な特徴:

  • ホストベースの侵入検知システム
  • 無料で使用できます
  • 自動応答

Sagan の主な検出方法にはログ ファイルの監視が含まれます。これは、これがホストベースの侵入検出システムであることを意味します。 Snort もインストールし、そのパケット スニファーからの出力を Sagan にフィードすると、このツールからネットワーク ベースの検出機能も利用できるようになります。あるいは、次の方法で収集したネットワーク データをフィードすることもできます。 なれ (以前はブロ) または ミニム ツールに。 Sagan は、次のような他の Snort 互換ツールとデータを交換することもできます。 スノービースクイルアナル 、 そして ベース

長所:

  • 無料のオンプレミス パッケージ
  • ネットワークベースのIDSと組み合わせる
  • 堅実で評判の高いシステム

短所:

  • セットアップには技術的なスキルが必要です

セーガンがインストールする場所ユニックスLinux、 そしてマックOS。ただし、接続されているネットワークからイベント メッセージを取得することもできます。ウィンドウズシステム。追加機能には、IP アドレスの場所の追跡と分散処理が含まれます。

6.OSSEC

OSSEC のスクリーンショット

OSSEC非常に人気のある IPS システムです。その検出方法はログ ファイルの検査に基づいており、 ホストベースの侵入検知システム 。このツールの名前は「」の略です。 オープンソース HIDS セキュリティ (「H」がないにもかかわらず)。

主な特徴:

  • 無料で使用できます
  • 高く評価されている
  • ホストベース

これがオープンソース プロジェクトであるという事実は、ソフトウェアが無料で使用できることも意味するため、素晴らしいことです。オープンソースであるにもかかわらず、OSSEC は実際には次の企業によって所有されています。トレンドマイクロ。無料ソフトウェアを使用する場合の欠点は、サポートを受けられないことです。このツールは広く使用されており、OSSEC ユーザー コミュニティは、システムの使用に関するヒントやコツを得るのに最適な場所です。ただし、会社のソフトウェアに関して素人のアドバイスに頼る危険を冒したくない場合は、次の製品を購入できます。プロフェッショナルなサポートパッケージトレンドマイクロから。

OSSEC の検出ルールは「 ポリシー 独自の監視ポリシーを作成したり、ユーザー コミュニティからそれらのパックを無料で入手したりできます。特定の警告が発生したときに自動的に実行するアクションを指定することもできます。

長所:

  • 大規模なユーザーコミュニティ
  • 検出ルールは無料で利用可能
  • 検出ルール言語でカスタマイズ可能

短所:

  • プロフェッショナルサポートパッケージは有料でご利用いただけます

OSSEC は上で動作しますユニックスLinuxマックOS、 そしてウィンドウズ。このツールにはフロントエンドはありませんが、次のように接続できます。キバナまたはグレイログ。訪問 ダウンロードページ

以下も参照してください。 最高の HIDS ツール

7.WIPS-NGを開く

OpenWIPS のスクリーンショット

特にワイヤレス システム用の IPS が必要な場合は、Open WIPS-NG を試してみてください。これは無料ツールこれにより、侵入を検出し、自動応答を設定できるようになります。

主な特徴:

  • 無料ツール
  • ワイヤレスチャンネルをスキャンします
  • 侵入検知を提供します

オープン WIPS-NG は、 オープンソースプロジェクト 。ソフトウェアは次の環境でのみ実行できます。 Linux 。このツールの重要な要素は、 ワイヤレスパケットスニファー 。スニファー要素はセンサー モジュールであり、データ収集とソリューションの送信の両方として機能します。 侵入をブロックする 。これは、を作成したのと同じ人によって設計されたため、非常に有能なツールです。 Aircrack 言語 、ハッカーツールとしてよく知られています。

長所:

  • ハッカーツールの作成者によって書かれた
  • 侵入者を検知します
  • 侵入者を撃退する機能

短所:

  • Linux上でのみ動作するコマンドラインシステム

このツールのその他の要素は、検出ルールを実行するサーバー プログラムとインターフェイスです。ダッシュボードで Wi-Fi ネットワーク情報と潜在的な問題を確認できます。侵入が検出されたときに自動的に開始されるアクションを設定することもできます。

8.フェイル2バン

Fail2ban のスクリーンショット

Fail2Ban は軽量の IPS オプションです。これ無料ツール侵入を検知するホストベースのメソッドこれは、ログ ファイルに不正なアクティビティの兆候がないか検査することを意味します。

主な特徴:

  • 無料ツール
  • ホストベースの検出
  • IPアドレスをブロックします

このツールで実装できる自動応答には次のようなものがあります。IPアドレス禁止。通常、これらの禁止は数分しか続きませんが、ユーティリティのダッシュボードでブロック期間を調整できます。検出ルールは「」と呼ばれますフィルター』と連想することができます。修復アクションそれぞれと一緒に。フィルターとアクションの組み合わせは「」と呼ばれます。刑務所』。

長所:

  • ログファイルの高速スキャン
  • フィルターとアクションを組み合わせて刑務所を作成する
  • Linux、macOS、Unix 上で動作

短所:

  • GUIインターフェイスなし

Fail2Ban は次の場所にインストールできます。ユニックスLinux、 そしてマックOS

9. ジーク

兄弟のスクリーンショット

なれ(2019年まではBroと呼ばれていました)も素晴らしいです無料のIPS。このソフトウェアは次の場所にインストールされますLinuxユニックス、 そしてマックOS。ジークが使うネットワークベースの侵入検知方法。 Zeek は、悪意のあるアクティビティについてネットワークを追跡すると同時に、ネットワーク デバイスのパフォーマンスに関する統計も提供します。トラフィック分析

主な特徴:

  • 無料ツール
  • ネットワークトラフィックをスキャンします
  • 疑わしいパケットを選択して保存します

Zeek の検出ルールは、 アプリケーション層 これは、ネットワーク パケット全体で署名を検出できることを意味します。 Zeek には次のデータベースもあります。 異常関連 検出ルール。 Zeek の作業の検出段階は、「 イベントエンジン これにより、パケットと疑わしいイベントがファイルに書き込まれます。 ポリシースクリプト 保存された記録を検索して侵入者の活動の兆候を見つけます。独自のポリシー スクリプトを作成することもできますが、それらは Zeek ソフトウェアにも含まれています。

長所:

  • ネットワークモニターとしてもセキュリティパッケージとしても動作可能
  • デバイス構成の保護
  • ポート スキャンの試行をスポットします

短所:

  • 専門的なサポートはありません

ネットワークトラフィックを確認するだけでなく、Zeek はデバイス構成を監視します。ネットワークの異常やネットワークデバイスの異常な動作は、監視を通じて追跡されます。SNMPトラップ。 Zeek は、通常のネットワーク トラフィックだけでなく、HTTP、DNS、および FTP アクティビティにも注意を払います。このツールは、ネットワークへの不正アクセスを取得するために使用されるハッカーの手法であるポート スキャンを検出した場合にも警告します。

侵入防御システムツールの選択

リストにある IPS ツールの定義を読むとき、最初に行うべき作業は次のとおりです。選択を絞り込むセキュリティ ソフトウェアをインストールするサーバーのオペレーティング システムに応じて。

覚えて、これらのソリューションはファイアウォールやウイルス対策ソフトウェアに代わるものではありません– 従来のシステム セキュリティ手法では監視できない領域を保護します。

予算も決定要素になります。このリストにあるツールのほとんどは無料で使用できます。

ただし、訴訟されるリスクもあるハッカーが会社の IT システムに保存されている顧客、サプライヤー、従業員のデータを入手した場合、あなたの会社は多額のお金を失うことになります。その意味では、侵入防止システムに支払うコストはそれほど高くありません。

現場で持っているスキルを監査する。検出ルールを設定する技術的なタスクを処理できるスタッフがいない場合は、専門的にサポートされているツールを選択した方がよいでしょう。

現在、侵入防止システムを実行していますか?どれを使いますか?別の IPS に切り替えることをお考えですか?にコメントを残してくださいコメント以下のセクションであなたの経験をコミュニティと共有してください。

IPS ソフトウェア ツールに関するよくある質問

IPS はファイアウォールとどう違うのですか?

ファイアウォールはシステム (ネットワークまたは個々のコンピューター) の境界に位置し、IPS はネットワーク上を移動するパケットを検査します。 IPS が実装できるブロック戦略の 1 つは、ファイアウォールのルールを更新して、疑わしい IP アドレスへのアクセスをブロックすることです。

IDSとIPSではどちらが優れていますか?

侵入検知システムは異常な動作を探し出し、不審な動作が検出された場合にネットワーク管理者に通知します。侵入防止システムは、修復ワークフローを自動的にトリガーして、不審なアクティビティをブロックします。どちらが良いかの決定は個人の好みによって決まります。行動を起こすかどうかを決定する選択肢が与えられることを望んでいますか、それともその決定があなたに行われることを望みますか?

IPS は DDoS 攻撃を防ぐことができますか?

IPS サービスは、DDoS 攻撃に対する防御には適していません。これは、DDoS 戦略が IPS が動作するネットワークに到達することがないためです。 DDoS 攻撃は、接続を行う意図がなく、不正な接続リクエストを大量に送信します。エッジ サービスは、DDoS トラフィックを吸収するためのより適切なメカニズムです。

^