it-swarm-es.com

Snort es genial, pero BASE no lo es. ¿Cuáles son algunos front-end alternativos?

BASE es una mejora sobre ACID, pero es fácil decir que es mantenido por alguien que no lo usa. No hay una descripción general de la actividad de la red de un vistazo como la que obtiene con NUBA IDS de McAfee y muchos otros, y la búsqueda de patrones es incómoda y lenta en comparación con los agregadores de registros como Splunk.

Conozco algunas alternativas a BASE:

  • Sguil ofrece una vista algo más agradable de los eventos, pero muestra su antigüedad, y la interfaz tcl/tk es incómoda de usar en un conjunto remoto de sensores de inhalación desde un escritorio de Windows.

  • OSSIM proporciona algunos gráficos bonitos, pero quiere ser su SIEM de nivel superior en un solo paquete, y necesito algo más modular, configurable y de red centrado que eso.

  • Snorby parece intrigante, pero es el único que aún no he intentado instalar y usar; el sitio de demostración no me ha funcionado desde el escritorio de mi trabajo; solo en casa.

10
user502

"y el sitio web de demostración no me dejaba iniciar sesión, lo que no genera una confianza extrema" ay ... Soy el desarrollador de Snorby y apostaría 100 USD a que estaba escribiendo "[email protected]" (intente. org). Nunca he tenido un problema con la autenticación o el tiempo de inactividad de demostración desde el lanzamiento de Snorby 2.x.x. Asegúrese de verificar las credenciales a fondo antes de publicar comentarios negativos sobre un proyecto a una gran audiencia.

Aparte de Snorby, recomendaría Sguil. Sguil ofrece captura completa de paquetes, datos de sesión y muchas otras características poderosas. Una mala interfaz de usuario es un pequeño precio a pagar por datos valiosos.

8
mephux

Estoy usando Aanval ®. Nuevo en Aanval v7 es su exclusivo motor de Conocimiento Situacional, que proporciona un análisis profundo de eventos y arquitectura de la red Host. En algunos casos es mejor que BASE, es un poco SIEM, pero lo uso junto con BASE y Snorby.

1
Mohsen Gh.

si tiene suficiente dinero en su bolsillo o menos de 500mb (pero bewar: en caso de un ataque y montones y montones de archivos de registro splunk puede desactivar su análisis si supera sus límites durante un tiempo determinado)

splunk para resoplar