HIDS的建置,是以單一主機作為樣本採集點。最簡單與基本的概念,就是log monitoring,因為很多攻擊得從合法的本機服務開始,可能就觸發很多Fail log。這也是Splunk的強項,或是最起碼裝個獨立的syslog server,把大家的log都收過來分析。再者是file checksum,進一步監測本機重要檔案是否遭竄改,這會比較耗資源,像Tripwire就是個老牌。
OSSEC倒是整合了log & file checks的功能,是由TrendMicro支持的一個project。但若還要單機的packet capture,就得再把Snort這種NIDS裝到單機上去,可整合到syslog去一起監測。
沒有留言:
張貼留言