Il modulo IDS/IPS esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:
- Analisi del protocollo
- Analisi del contenut.
- Confronto dei contenuti
Tutte le regole di indentificazione delle minacce vengono costantemente aggiornate tramite subscriprion a Talos, gruppo di esperti in sicurezza informatica che lavorano attivamente nell'identificazione e risposta alle attività di hacking, intrusione, malware e vulnerabilità. Alcune delle minacce che vengono intercettate e bloccate sono:
Il security box può lavorare nelle seguenti modalità:
- Sniffer: il programma legge i pacchetti di rete e li mostra sulla console
- Packet Logger: il programma esegue il log dei pacchetti di rete su disco
- NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi
- Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete
Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:
- Unified format (formato di Snort)
- XML
- Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL
- Formato tcpdump/libcap
- ASCII
- WinPopup (SMB)
- Log di sistema
