linux_forever2001 a écrit : >bjour et bon week end à tous ! > >j'ai installé snort et acid pour monitorer mon réseau. cela fctionne très >bien. >g cependant des résultats byzarre et j'aimerais savoir si vosu pouvez m'aider >à me dire si ls résultats sont à prendre au sérieux ou pas (je posterai dans >ce cas l'url de mon ACID) > > > La première chose à ne pas oublier quand on installe un IDS, c'est qu'il y aura souvent plus de faux positif que de vrai. Je ne sais plus quel est le ratio moyen officiel, mais il est peu engageant dans l'absolu (le ratio de 1/10 à 1/100 est assez courant).
Ensuite il faudrait voir le detail pour savoir. Car il y a pas mal de messages. Ceratins sont parfois occasionné par tes propre utilisateurs et infrastructures (hors malware, spyware, virus, vers ou trojan bien sur) Sinon, aujourd'hi, les résultat fournis par un IDS seul ne suffisent plus. Un certain nombre de plateforme (commerciales principalement car il n'y a pas de plateforme libre digne de ce nom pour le moment à ma connaissance - d'ailleurs si quelqu'un en connait une je suis interessé) se mettent en place depuis quelques années (surtout 2 ans environs): des plate-formes de centralisations d'evênement de securité. Ces plate-formes font la centralisations des différents messages, les aggrèges, le filtres et les corrèles le cas échéant. La partie la plus difficile reste la correlation bien sur. laurent
____________________________________________________ Want to buy your Pack or Services from Mandriva? Go to http://store.mandriva.com Join the Club : http://www.mandrivaclub.com ____________________________________________________
