Questo è nuovo per me, ma quali tipi di dati registra Snort per Network Intrusion Detection?
Sto indovinando data e ora, indirizzo IP di origine, indirizzo IP di destinazione, porta di origine, porta di destinazione, protocollo. C'è qualcos'altro?
Snort supporta diversi formati di output per Log Parser in cui viene utilizzato principalmente il formato CSV. Per configurare Snort per usare il formato di output CSV, aggiungi la seguente riga nel file snort.conf:
output alert_csv: alert.csv default
Per l'analisi dei registri sono disponibili per default 28 campi che includono timestamp, sig_generator, sig_id, sig_rev, msg, proto ecc. Per comprendere Snort Log Management, consiglio di leggere " Gestione degli avvisi di snort "
Fondamentalmente, snort osserva il traffico dei pacchetti di rete. Può essere configurato per registrare e / o generare report su qualsiasi informazione disponibile dal pacchetto di rete. Nella maggior parte dei casi è solo il trapping sui dati di frame e header, ma può anche essere usato per un set abbastanza robusto di funzioni di deep packet inspection (DPI). DPI consente di ordinare / tracciare / trap / etc in base alle informazioni effettivamente contenute nel pacchetto in aggiunta alla serie di regole dello snort. Per una serie completa di funzionalità, consulta la documentazione dello snort al link . Le FAQ sono anche abbastanza utili per questo tipo di domande.