Sistema de detección de intrusiones (IDS)

También conocido como: IDS

Control de seguridad pasivo que supervisa la actividad de red o de host en busca de comportamiento malicioso y genera alertas sin bloquear el tráfico.

Un sistema de detección de intrusiones (IDS) inspecciona tráfico, registros o llamadas al sistema y genera alertas cuando observa actividad que coincide con firmas conocidas, anomalías estadísticas o violaciones de política. Existen IDS basados en red (NIDS) en puertos SPAN/TAP e IDS basados en host (HIDS) en endpoints, y suelen enviar las alertas a un SIEM para correlación, triaje y respuesta a incidentes. Como solo detecta y no bloquea, un IDS puede colocarse de forma segura, no rompe el tráfico y se adapta bien a entornos sensibles de alto rendimiento. Su eficacia requiere ajuste fino, firmas actualizadas, enriquecimiento con inteligencia de amenazas y un flujo maduro de los analistas para convertir alertas en acciones.

Ejemplos

Suricata escuchando un puerto SPAN y alertando ante un patrón de explotación de Log4Shell.
OSSEC en un host Linux detecta cambios en /etc/passwd y manda una alerta al SIEM.

Sistema de detección de intrusiones (IDS)

Ejemplos

Términos relacionados

Sistema de prevención de intrusiones (IPS)

IDS basado en host (HIDS)

IDS basado en red (NIDS)

Detección basada en firmas

Detección basada en anomalías

SIEM

Definición

Ejemplos

Términos relacionados

Sistema de prevención de intrusiones (IPS)

IDS basado en host (HIDS)

IDS basado en red (NIDS)

Detección basada en firmas

Detección basada en anomalías

SIEM