Lo Snort è grandioso, ma BASE no. Quali sono alcuni front-end alternativi?

10

BASE è un miglioramento rispetto all'ACID, ma è facile dire che è gestito da qualcuno che non lo usa. Non c'è una panoramica immediata delle attività di rete come si ottiene con NUBA IDS di McAfee e molti altri, e la ricerca di pattern è scomoda e lenta rispetto agli aggregatori di registri come Splunk.

Sono a conoscenza di alcune alternative a BASE:

  • Sguil offre una visione più gradevole degli eventi, ma mostra la sua età e il tcl / tk l'interfaccia è scomoda da utilizzare su un set remoto di sensori snort da un desktop Windows.

  • OSSIM fornisce alcuni grafici carini, ma vuole essere il tuo SIEM di primo livello in un unico pacchetto, e ho bisogno di qualcosa di più modulare, configurabile e focalizzato sulla rete.

  • Snorby sembra intrigante, ma è quello fuori dal mazzo che non ho nemmeno provato a installare e usare ancora; il sito demo non ha funzionato per me dal mio desktop di lavoro; solo a casa.

posta user502 07.02.2011 - 15:12
fonte

3 risposte

8

"e il sito Web demo non mi consente di accedere, il che non genera estrema fiducia" ahi .. Sono lo sviluppatore di Snorby e scommetto 100 dollari che stavi scrivendo "[email protected]" (prova .org). Non ho mai avuto un problema con l'autenticazione o il downtime della demo dal lancio di Snorby 2.x.x. Assicurati di verificare attentamente le credenziali prima di pubblicare commenti negativi su un progetto per un pubblico più ampio.

A parte Snorby, consiglierei Sguil. Sguil offre acquisizione di pacchetti completi, dati di sessione e numerose altre potenti funzionalità. Una cattiva interfaccia utente è un piccolo prezzo da pagare per i dati preziosi.

    
risposta data 08.02.2011 - 23:02
fonte
1

Sto utilizzando Aanval ®. Novità di Aanval v7 è il suo esclusivo motore Situational Awareness, che fornisce analisi approfondite su eventi e architettura della rete host. In alcuni casi è meglio di BASE, è un po 'SIEM, ma lo uso insieme a BASE e Snorby.

    
risposta data 16.05.2012 - 20:34
fonte
0

se hai abbastanza soldi in tasca o meno di 500mb (ma in caso contrario: in caso di attacco e un sacco e molti file di registro splunk potrebbero disattivarne l'analisi se superi i tuoi limiti per un certo periodo)

splunk for snort

    
risposta data 11.07.2013 - 09:52
fonte

Leggi altre domande sui tag