# IDPS

IDPS - Intrusion Detection and Prevention System

IDPS là một yếu tố quan trọng trong việc bảo vệ tài sản kỹ thuật số.

SIEM và IDPS thường được sử dụng cùng nhau để phát hiện và ngăn chặn truy cập hoặc các tiếp xúc trái phép.

<figure><img src="/files/78C0fOxYPTUK6roVJWCi" alt=""><figcaption></figcaption></figure>

IDPS là sự kết hợp của hệ thống phát hiện xâm nhập và hệ thống ngăn chặn xâm nhập. Đây là 2 công nghệ được sử dụng để phát hiện và chặn các mối đe dọa bảo mật tiềm năng trong phần mềm độc hại trên một mạng.

#### IDS

* IDS theo dõi mạng hoặc môi trường của bạn và phân tích nó cho các cuộc xâm nhập có thể và cảnh báo các quản trị viên về sự bất thường được xác định.

<figure><img src="/files/oWq3FDEiqVg8bfXIWIlS" alt=""><figcaption><p>IDS</p></figcaption></figure>

* Như trên sơ đồ, các gói mạng đến từ một máy chủ bên ngoài nó đi qua mạng và sau đó là tường lửa. Tường lửa ở đây đóng vai trò là tuyến phòng thủ đầu tiên và sau đó chuyển các gói đến IDS trước khi chúng gửi cho người dùng.

#### IPS

* IPS mặt khác là sự kế thừa của IDS. Nó cũng theo dõi môi trường của bạn, nhưng đi xa hơn bằng cách thực hiện các hành động tự động chẳng hạn như dropping (giảm) các gói tin nghi ngờ, chặn lưu lượng từ các nguồn độc hại và tự động thiết lập lại các kết nối.

<figure><img src="/files/UW2wMHZRCbY2TpB3arDI" alt=""><figcaption><p>IPS</p></figcaption></figure>

* Trên là sơ đồ cấu trúc của IPS trong mạng. IPS nó nằm ngay giữa internet và tường lửa của bạn, thêm một lớp bảo mật khác trước khi gói tin truy cập vào mạng công ty của bạn.

#### Types of IDPS

<figure><img src="/files/IOV7LWe6N7RgHYpOz64f" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/GiUtlLIJQN3MEOopvXQi" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/0UwYDkd8AAYuc6xZiIn7" alt=""><figcaption></figcaption></figure>

<details>

<summary>IDPS phát hiện sự cố như thế nào?</summary>

* Sử dụng 2 phương pháp chính là phát hiện dựa trên signature (signature-based detection) và phát hiện dựa trên dị thường (anomaly-based detection).
* Signature-based detection: Hầu hết các cuộc tấn công mạng và mã độc có signature nhận dạng riêng. Phương pháp phát hiện này duy trì một cơ sở dữ liệu được cập nhật thường xuyên về signatures phần mềm độc hại đã biết. Nó hoạt động bằng cách kiểm tra the traffic payload chống lại cơ sở dữ liệu này và cảnh báo khi so khớp. Tuy nhiên nhược điểm của phương pháp này là nó chỉ có thể dừng các cuộc tấn công được xác định trước đó và sẽ không thể nhận ra những cái mới.
* Anomaly-based detection: Đây là một phương pháp mạnh mẽ hơn. Đầu tiên là Records các hoạt động bình thường trong môi trường của bạn. Điều này bao gồm các người dùng, các hệ thống, các ứng dụng của bạn. Và bất kỳ sai lệch nào so với bình thường này được coi là một sự bất thường. Và đưa ra cảnh báo về những điều bất thường này. Tuy nhiên, nó có xu hướng để tạo ra một lượng lớn [false positives](#user-content-fn-1)[^1] (báo động giả).

</details>

<details>

<summary>Best Practices IDPS</summary>

* Đầu tiên trước khi đi triển khai, tốt nhất là ta tìm ra các mục tiêu và các yêu cầu của IDPS đối với môi trường của bạn. Xem xét các yếu tố quy định và cơ sở hạ tầng chẳng hạn như sự tích hợp của các công cụ bảo mật khác, yêu cầu tuân thủ, các mục tiêu tổng thể, và nhiều hơn nữa.
* Kiểm kê tài sản doanh nghiệp là quan trọng cho việc triển khai SIEM. Tiến hành đánh giá kỹ lưỡng về môi trường của bạn. Identify and record your hosts, applications, OS, access points (các điểm truy cập), and other things you have in your environment. Điều này sẽ có giá trị để điều tra hiệu quả.
* Thiết lập một đường cơ sở về những gì được coi là bình thường. Hiệu quả mạnh mẽ của một IDPS là được định sẵn về hoạt động bình thường so với bất thường.
* False positives có thể trở nên quá tải nếu hệ thống của bạn không được điều chỉnh tốt. Thiết lập một process giải quyết non-false positives mà không khiến các hoạt động của bạn dừng lại.
* Đảm bảo rằng các bản cập nhật được áp dụng thường xuyên

</details>

[^1]: Thuật ngữ "false positive" được hiểu như một báo động giả, giống như việc báo động nhà của bạn được kích hoạt mà lại không có một tên trộm nào cả


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/siem/2.-related-technologies-and-systems/idps.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.