Sto lavorando su un progetto che ha quattro entità (snort, logstash, elasticsearch, kibana). Sto mantenendo snort che è distribuito in Centos 7, snort inserisce i metadati nel file di avviso (/ var / log / alert) questi dati viene estratto da logsatsh- > elasticsearch- > kibana, ora un analista della sicurezza mi chiede di fornire dati raw pcap (forma leggibile) per mappare con gli avvisi in kibana per l'analisi. Chiedo alla community di aiutarmi come possiamo procedere. Sono molto nuovo ai progetti di sicurezza
Do I need to tweak the snort or any ideas you have, I need your help, I have pcap raw log file snort.log.xxxxx in the folder(/var/log/snort)Finora ho cercato di avere pochi collegamenti ma non sono di supporto e ho cercato di scrivere uno script che usi (tcpdump, tshark) per convertire i log di pcap in un formato leggibile, anche questo non è utile. idee