| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICR v2.x als volgt in de tekst duidelijk gemaakt:
|
Intrusion detection is een detectiemaatregel. Intrusion detection (IDS) heeft als doel om op te merken wanneer een potentieel malafide activiteit plaatsvindt binnen het netwerk van een organisatie. Dit kan bv. gaan over een ongeautoriseerde lokale, netwerk- of externe verbinding. Dit soort informatie dient ihkv integratie van IDS in het SIEM doorgegeven te worden aan SIEM. Het is vervolgens aan de systeembeheerder om te onderzoeken wat er daadwerkelijk aan de hand is en om gepaste actie te ondernemen. Reageert een beheerder niet op een dergelijke alert, dan zal de aanval ook niet gestopt kunnen worden. Een IDS gaat dus nooit actief een aanval blokkeren.
...
Een netwerk-gebaseerd IDS plaatst men over het algemeen niet inline maar out-of-band. Bij out-of-band plaatsing neemt het IDS geen actieve rol in het netwerk in, maar verkrijgt het een kopie van de datastromen. Bij inline-plaatsing staat de IDS in het netwerk pad en verwerkt de actieve data. Een voordeel van een inline geplaatst netwerk-gebaseerd IPS is dat het nooit datastromen zal missen. Immers, alle datastromen moeten hierbij door het systeem heen gaan. Bij out-of-band-plaatsing bestaat altijd de kans dat trafiek wordt gemist. Dit gebeurt bijvoorbeeld op het moment dat de belasting op een switch of router te hoog wordt en de switch/router daardoor niet alle trafiek meer kopieert naar de IDS.