Devo scrivere avvisi in SIEM Tool. Abbiamo un codice di eventi per Unix come in Windows.
Se sì, dove posso trovarlo?
In caso negativo, su quali basi possiamo scrivere avvisi per sapori o macchine unix? Sarebbe necessario per gli avvisi di auditing, applicazione o rete.
Do we have any Events code for Unix as we have in Windows.
no. quello che hai è un mucchio di software che scrive file di log, ma questi file di log non seguono nessuno standard.
If Not, On what basis can we write alerts for unix flavours or machines . for Auditing,application or network based alerts.
Gli attacchi basati sulla rete vengono solitamente rilevati da un NIDS come snort, suricata, bro (open source) o qualsiasi ID commerciale che usi. qualsiasi SIEM decente dovrebbe avere connettori per questo tipo di sistemi di allarme.
lo stesso vale per l'intrusione basata su host con strumenti come OSSEC o altre cose opens-source che funzionano su logfile-analaysis. per qualsiasi NIDS / HIDS serio e SIEM troverai connettori e modi per iniettare eventi da quel sistema nel SIEM