Snort

有什麼方法可以保存 Suricata 警報有效負載?

  • January 19, 2019

我已經按照一些說明在此處設置 Graylog 和 Snort(不過我使用了 Suricata) ,但如果能夠看到生成事件的警報負載是什麼,那就太好了。

一個名為Snorby的應用程序曾經很好地做到了這一點。您可以查看有效負載的十六進制轉儲,以更好地確定事件的嚴重性。據我所知,Snorby 的開發在很久以前就停止了。有誰知道是否有辦法通過 Graylog/Suricata 獲得這種功能?我想如果 Suricata 可以以某種方式保存有效載荷,它可能會以某種方式發送到 Graylog,只是不確定哪種機制是最好的。

我使用EveBox查看 Suricata 的警報、事件等。如果您使用 Elasticsearch,它還可以顯示圖表報告。

EveBox 是用於 Elastic Search 的基於 Web 的 Suricata“eve”事件查看器。

特徵:

  • 基於 Web 的事件查看器,採用“收件箱”方法進行警報管理。事件搜尋。
  • 將 Suricata 事件發送到 EveBox 伺服器的代理(但您可以改用 Filebeat/Logstash)。
  • 用於獨立安裝的嵌入式 SQLite。

Suricata 基於網路的報告

引用自:https://serverfault.com/questions/910590