ViPNet IDS HS

Решение ViPNet IDS HS разработано ИнфоТеКС для мониторинга событий непосредственно внутри операционной системы. Комплекс строится на агентской архитектуре: на каждый защищаемый хост устанавливается агент, который собирает данные о происходящем в системе и выполняет первичный анализ. Централизованная консоль управления объединяет агенты в группы, распределяет наборы правил и отображает события в едином интерфейсе.

Традиционные сетевые системы обнаружения вторжений анализируют трафик на границе сети — и по этой же причине они не могут обнаружить то, что происходит внутри самого хоста. Атака в зашифрованном канале, вредоносный процесс, запущенный уже после того, как соединение установлено, изменения в реестре или системных файлах — сетевой IDS не видит содержимое зашифрованного трафика и события, происходящие уже внутри хоста. Закрыть этот пробел призваны решения класса host-based IDS.

Особенности и преимущества продукта

• Файловая активность — создание, изменение и удаление файлов, в том числе системных, отслеживается в режиме реального времени.
• Сетевая активность — фиксируются сетевые соединения и передача данных, включая трафик внутри зашифрованных каналов, недоступный для анализа сетевым IDS.
• Процессы — выявляется запуск неизвестных или подозрительных процессов, в том числе тех, для которых ещё не существует антивирусных сигнатур — благодаря эвристическому анализу.
• Изменения в реестре — несанкционированные правки ключей реестра Windows фиксируются как потенциальные признаки компрометации.
• Системные логи — события операционной системы анализируются на предмет аномальных паттернов поведения.
• При выявлении атаки администратор получает оповещение в интерфейсе консоли или по электронной почте.