Voglio collegare alcuni sensori come Snort e OSSEC a AlienVault SIEM. Come lo posso fare?! È possibile inviare registri tramite syslog?
Voglio collegare alcuni sensori come Snort e OSSEC a AlienVault SIEM. Come lo posso fare?! È possibile inviare registri tramite syslog?
Per OSSEC è possibile generare nuove chiavi per ogni agente che segnalerà al server OSSEC installato nel server OSSIM (verificare Analisi | Rilevamento | HIDS)
Per Snort, il modo più semplice e consigliato è installare un profilo del sensore OSSIM, che viene fornito con Snort up e fornisce le nuove regole usando il comando alienvault-update
Ma se non ti interessa, perché hai installato una installazione di Snort, puoi inviare i log unified2 al server OSSIM usando rsyslog e controllare snort.cfg che la directory var punta al posto giusto .
Questi problemi sono spiegati nel Manuale dell'utente: link
Mi rendo conto che questo ha già una risposta accettata, ma questo è un breve riassunto su come impostarlo.
snort.conf
output alert_syslog: LOG_DAEMON LOG_ALERT
rsyslog.conf
daemon.* @alienvault-server
ossim_setup.conf
detectors=...,snort_syslog,...
snort_syslog.cfg
location=/var/log/daemon.log