Snort
有什麼方法可以保存 Suricata 警報有效負載?
我已經按照一些說明在此處設置 Graylog 和 Snort(不過我使用了 Suricata) ,但如果能夠看到生成事件的警報負載是什麼,那就太好了。
一個名為Snorby的應用程序曾經很好地做到了這一點。您可以查看有效負載的十六進制轉儲,以更好地確定事件的嚴重性。據我所知,Snorby 的開發在很久以前就停止了。有誰知道是否有辦法通過 Graylog/Suricata 獲得這種功能?我想如果 Suricata 可以以某種方式保存有效載荷,它可能會以某種方式發送到 Graylog,只是不確定哪種機制是最好的。
我使用EveBox查看 Suricata 的警報、事件等。如果您使用 Elasticsearch,它還可以顯示圖表報告。
EveBox 是用於 Elastic Search 的基於 Web 的 Suricata“eve”事件查看器。
特徵:
- 基於 Web 的事件查看器,採用“收件箱”方法進行警報管理。事件搜尋。
- 將 Suricata 事件發送到 EveBox 伺服器的代理(但您可以改用 Filebeat/Logstash)。
- 用於獨立安裝的嵌入式 SQLite。