Mi piacerebbe utilizzare alcuni dei prodotti di tipo SIEM gratuiti là fuori per aumentare le possibilità che rileverò attacchi e compromessi di qualsiasi dispositivo sulla mia rete domestica. La maggior parte dei miei dispositivi domestici esegue Linux. Mi interessano solo le soluzioni che sono possibili senza un grande investimento di sforzo (non più di ~ 5 ore di tempo di configurazione, ad esempio, e alimentazione e irrigazione manuali minime).
Ho le solite risorse della rete domestica che vorrei proteggere: integrità e disponibilità delle risorse di elaborazione compresa la larghezza di banda (sarebbe bene notare che facevo parte di una botnet); riservatezza delle credenziali dell'account online; disponibilità di supporti archiviati, ecc.
Alcune ricerche su questo sito e Google ha suggerito che Snort + Snorby potrebbe essere un'opzione; Ho anche una certa esperienza nell'uso di Splunk che è gratuito per un massimo di 500 MB di log al giorno e può essere associato a un numero qualsiasi di altri prodotti (sono un po 'fan di Splunk, anche se non l'ho usato per motivi di sicurezza).
È fattibile, oppure tutti gli strumenti SIEM sono progettati per essere eseguiti da professionisti delle operazioni di sicurezza a tempo pieno? Se è fattibile, cosa posso configurare Snort + Snorby per rilevare / quali app o pubblicamente configurazioni e ricerche disponibili dovrei usare con Splunk?
Quale di queste due opzioni è più probabile che soddisfi i miei obiettivi di basso livello di installazione e di manutenzione, pur rimanendo utile?
Sono particolarmente interessato alle esperienze di chiunque * che abbia una tale impostazione, ma le opinioni basate sull'esperienza professionale che utilizzano questi strumenti sono anche più che benvenute.
* se hai una configurazione in esecuzione a casa e sei anche una persona dei segreti che fa questo per vivere, per favore menziona questo fatto:)