IDS em host (ex.: OSSEC, Wazuh) monitora alterações de arquivos e processos. Centralize logs e use SIEM ou alertas para anomalias. Combine com detecção em rede. Provedores tier-III muitas vezes oferecem opções de detecção gerenciada.
IDS em host (HIDS)
- O que faz: Monitora integridade de arquivos (mudanças em arquivos críticos), processos e às vezes padrões de log. Alerta sobre mudanças suspeitas ou não autorizadas.
- Ferramentas: OSSEC, Wazuh, Tripwire, AIDE. Algumas são open source; instale um agente em cada servidor ou use um manager central.
- Ajuste: Reduza falsos positivos excluindo caminhos voláteis conhecidos e ajustando regras.
Centralização de logs e SIEM
- Centralize: Envie logs (auth, app, firewall, IDS) para um sistema central (ELK, Splunk, Loki ou SIEM gerenciado). Permite correlação e busca entre servidores.
- Alertas: Defina regras para anomalias (ex.: logins falhos, escalação de privilégio, saída inesperada).
- Retenção: Mantenha logs pelo tempo necessário para investigação e compliance.
Detecção em rede
- NIDS: IDS de rede (ex.: Suricata, Zeek) inspeciona tráfego em busca de ataques conhecidos ou anomalias.
- Combinar: HIDS + NIDS + logs dão uma visão mais completa. Provedores tier-III ou gerenciados podem oferecer detecção e resposta gerenciadas (MDR).
Resumo
Use HIDS (ex.: Wazuh) para monitorar arquivos e processos; centralize logs e adicione SIEM/alertas. Combine com NIDS quando possível. Ajuste para reduzir falsos positivos.
