Рекомендовать альтернативу растяжке?
Когда я запустил в своем текущем задании, я наследовал положение от парня, который был уволен за грубую некомпетентность после нескольких недель. Ему не удалось сделать много при работе здесь кроме уничтожения каждого бита документации, которую он получил от своего предшественника, изменяя все пароли администратора на что-то случайное даже он не знал и прививающий некоторые "скрытые" учетные записи в машины для входа впоследствии.
Пароли и бэкдоры wheren't реальная проблема, но продвигающийся, не зная, что делало, какой и как было довольно интересно. Однако, никакой пользователь никогда не страдал от этого, но я был удачлив, что этот парень был даже слишком глуп, чтобы нанести реальный ущерб.
Мы используем OSSEC в качестве HIDS и Splunk для анализа результатов. OSSEC обеспечивает:
- Целостность файлов
- Контроль журнала
- Обнаружение руткита
- Анализ конфигурации
Существует бесплатное Приложение Splunk, названное Splunk для OSSEC, который работает отлично для управления предупреждениями OSSEC (существуют панели инструментов, запросы, и т.д.). Мы используем свободный Splunk.
Можно также использовать OSSEC WebUI, но это намного более ограничено.
Для давания Вам общее представление о том, как это взгляните на этот снимок экрана.
OSSec обеспечивает IDS, подобный Растяжке среди другого контроля хоста. Этим централизованно управляют со всеми журналами, прибывающими в единственный коллектор. Если у Вас есть сервер для экономии затем, Вы могли бы также использовать OSSim, который обеспечивает IDS, а также сетевое контрольное испытание и инструменты тестирования на возможность проникновения.
При использовании систем Windows хорошей альтернативой Растяжке является Verisys. Как Растяжка это делает контроль целостности файлов и имеет консоль централизованного администрирования для создания отчетов и т.д., но намного легче использовать, чем Растяжка. И более дешевый :)
Это - Windows только, хотя, таким образом, не много использования при использовании Linux...
Дайте попытку Начать (http://www.prelude-technologies.com/en/development/community/index.html). Я хотел протестировать его также, это кажется намного лучше, чем нормальный HIDS.