LANguard Security Event Log Monitor (S.E.L.M.) firmy GFI Software jest systemem typu HIDS, odmiennym od pozostałych. Po pierwsze nie używa sond na monitorowanych hostach i - po drugie - monitoruje wyłącznie logi Windows NT/2000.
System operacyjny Windows NT/2000 przewiduje środki do rejestracji zdarzeń mających związek z bezpieczeństwem. Są one odnotowywane w Security Event Logs. Są to zdarzenia, takie jak: logowania, aktywność nadzorcza i dostęp do plików. Jednak szereg przyczyn powoduje, że dane te są mało użyteczne. Powodem są m.in.:
konfiguracja - żadne z tych danych nie są rejestrowane automatycznie, wymagają one ustanowienia przez administratora reguł audytu i określenia, które zdarzenia powinny być monitorowane;
reakcje - brak wbudowanych w system operacyjny możliwości monitorowania i alarmowania w czasie rzeczywistym. Oznacza to, że krytyczne zdarzenia mogą pozostać niezauważone, jeżeli administrator nie sprawdzi logu;
brak analizy zdarzeń - brak narzędzi raportowania i analiz wbudowanych w system operacyjny, co czyni korelację zdarzeń zagadnieniem niezwykle trudnym;
brak szczegółów - każde zdarzenie odnotowane w Security Event Log ma przydzielony kod, brak jest natomiast opisu zdarzenia, jak też jego szczegółów, co czyni taki zapis trudnym do interpretacji.
LANguard S.E.L.M. działa w czasie rzeczywistym lub na podstawie harmonogramu, pobierając z serwerów i stacji roboczych logi zdarzeń. Następnie analizuje każde zdarzenie zapisane w logach i określa stopień zagrożenia bezpieczeństwa, jaki wnosi to zdarzenie, powiadamiając administratora w razie potrzeby.
Program składa się z następujących modułów:
Collector Agent
- moduł odpowiedzialny za pobieranie wszystkich zdarzeń z odległych hostów podlegających monitorowaniu. Jest usługą, która może odbierać zdarzenia z szeregu komputerów, używając zaawansowanego mechanizmu harmonogramowania opartego na poziomach bezpieczeństwa komputera. Moduł działa w sposób scentralizowany, wykorzystując API Win 32, bez większego wpływu na wydajność sieci.
Alerter Agent
- moduł powiadamiający administratora o zdarzeniach związanych z bezpieczeństwem. Alarmy mogą być wysyłane pocztą elektroniczną jako SMS lub na pager.
Archiver Agent
- moduł przechowujący każdy rekord zdarzenia odebrany i przetworzony przez Collector Agent w centralnej bazie danych, która może być bazą MS Access lub MS SQL Server. Tak przechowywana informacja może być źródłem danych dla raportów wykonywanych przez Crystal Reports.
Event Viewer
- łączy w sobie wszystkie mechanizmy standardowego Windows Event Viewer i zaawansowane mechanizmy przeszukiwania, filtrowania oraz opcje zarządzania zdarzeniami.
LANguard S.E.L.M. Configuration
- moduł do konfigurowania zarówno monitorowanych maszyn, jak również parametrów operacyjnych.
LANguard S.E.L.M. Reporter
- moduł do tworzenia raportów zdarzeń.
Program ustawia priorytety zdarzeń według następujących kryteriów:
typ zdarzenia;
poziom ochrony każdego z monitorowanych komputerów;
moment zaistnienia zdarzenia - w czasie normalnych godzin pracy czy w porze popołudniowej lub nocnej;
rola komputera w sieci (stacja robocza, serwer lub sterownik domeny).
Zdarzenia są klasyfikowane według czterech kategorii: krytyczne, wysokiego ryzyka, średniego ryzyka i małego ryzyka.
CA eTrust Intrusion Detection 1.5
Pakiet eTrust Intrusion Detection zapewnia, oprócz funkcji IDS, także raporty o użytkowaniu sieci, ochronę sieci (przeglądanie zawartości, wykrywanie wirusów, ataków DoS, złośliwych apletów oraz blokowanie, alarmy i rejestracja zdarzeń), monitorowanie i zarządzanie regułami wykorzystywania dostępu do Internetu.
System zawiera foldery reguł dotyczące dostępu do Weba, monitorowania, blokowania, alarmów, wykrywania wtargnięć, złośliwych apletów i przesyłek poczty elektronicznej przenoszących niebezpieczne załączniki. Foldery te zawierają reguły, które wykorzystywane są przez system w czasie skanowania komunikacji sieciowej. Reguły określają wzorce, protokoły, adresy, domeny, URLe, zawartość oraz akcje podejmowane w przypadku zaistnienie warunków określanych przez reguły. W skład pakietu wchodzą: eTrust Intrusion Detection Mangement Console Option, eTrust Intrusion Detection Log View i eTrust Intrusion Detection Remote.
Podstawowe funkcje systemu to:
kontrola dostępu do sieci - oparta na regułach określanych dla całej sieci
zintegrowany motor antywirusowy - system wykorzystuje motor skanera wirusowego InoculateIT do wykrywania i blokowania ruchu sieciowego przenoszącego wirusy komputerowe
biblioteka wzorców ataków uaktualniana z ośrodka webowego firmy
praca w trybie ukrytym
blokowanie URL
przeszukiwanie wzorców tekstowych w przesyłkach poczty elektronicznej
rejestrowanie użytkowania sieci (przez użytkowników i aplikacje)