IDS en host (ej. OSSEC, Wazuh) monitorea cambios de archivos y procesos. Centralice logs y use SIEM o alertas para anomalías. Combine con detección en red. Los proveedores tier-III a menudo ofrecen opciones de detección gestionada.
IDS en host (HIDS)
- Qué hace: Monitorea integridad de archivos (cambios en archivos críticos), procesos y a veces patrones de log. Alerta sobre cambios sospechosos o no autorizados.
- Herramientas: OSSEC, Wazuh, Tripwire, AIDE. Algunas son open source; despliegue un agente en cada servidor o use un manager central.
- Ajuste: Reduzca falsos positivos excluyendo rutas volátiles conocidas y ajustando reglas.
Centralización de logs y SIEM
- Centralice: Envíe logs (auth, app, firewall, IDS) a un sistema central (ELK, Splunk, Loki o SIEM gestionado). Permite correlación y búsqueda entre servidores.
- Alertas: Defina reglas para anomalías (ej. logins fallidos, escalada de privilegios, salida inesperada).
- Retención: Mantenga logs el tiempo necesario para investigación y cumplimiento.
Detección en red
- NIDS: IDS de red (ej. Suricata, Zeek) inspecciona tráfico en busca de ataques conocidos o anomalías.
- Combinar: HIDS + NIDS + logs dan una visión más completa. Los proveedores tier-III o gestionados pueden ofrecer detección y respuesta gestionada (MDR).
Resumen
Use HIDS (ej. Wazuh) para monitorear archivos y procesos; centralice logs y añada SIEM/alertas. Combine con NIDS cuando pueda. Ajuste para reducir falsos positivos.
