|
|
Besucher 727652
Ansichten 3264
Online 0 |
|
|
Datenspeicherung auf Snort Sensoren zur späteren Auswertung
| |
| Thema |
Verfasser |
Letzte Antwort |
| Datenspeicherung auf Snort Sensoren zur späteren Auswertung |
sMiLe ( ---.wincor-nixdorf.com) |
19 Oct 2006 05:28 | Hallo,
in Ihrem Buch erwähnen Sie die Möglichkeit, nur die High-Level Informationen bei einer Alarmierung an eine zentrale Konsole zu übertragen und gleichzeitig für eine spätere Auswertung ein vollständiges Logging der relevanten Pakete auf dem Sensor selbst durchzuführen. Sind zu diesem Zweck die *.alert und *.log Dateien, welche vom unified output plugin erzeugt werden , ausreichend oder sollte man ein anderes output Plugin verwenden? Letzendlich macht es in meinen Augen wenig Sinn, Snort selbst zusätzlich zum unified output noch ein weiteres output Plugin zu benutzen, da ja durch barnyard gerade Snort entlastet werden soll. Andererseits kann barnyard anscheinend nicht gleichzeitig in zwei verschiedene MySQL Datenbanken Protokollieren (eine auf der zentralen Konsole und eine auf dem Sensor), oder irre ich mich?
Die eigentliche Frage ist, ob und wie bei einer späteren Analyse nach einem Incident die vom unified Plugin erzeugten Dateien verwendet werden können. Wie sollte man grundsätzlich bei der Datenspeicherung zur späteren Auswertung vorgehen?
Vielen Dank im Voraus,
sMiLe |
| ||
| RE: Datenspeicherung auf Snort Sensoren zur späteren Auswert | Ralf ( ---.dip.t-dialin.net) | 19 Oct 2006 05:28 |
On 13 Sep 2006 08:30 'sMiLe' wrote:
> Hallo,
>
> in Ihrem Buch erwähnen Sie die Möglichkeit, nur die High-Level Informationen bei einer Alarmierung an eine zentrale Konsole zu übertragen und gleichzeitig für eine spätere Auswertung ein vollständiges Logging der relevanten Pakete auf dem Sensor selbst durchzuführen. Sind zu diesem Zweck die *.alert und *.log Dateien, welche vom unified output plugin erzeugt werden , ausreichend oder sollte man ein anderes output Plugin verwenden? Letzendlich macht es in meinen Augen wenig Sinn, Snort selbst zusätzlich zum unified output noch ein weiteres output Plugin zu benutzen, da ja durch barnyard gerade Snort entlastet werden soll. Andererseits kann barnyard anscheinend nicht gleichzeitig in zwei verschiedene MySQL Datenbanken Protokollieren (eine auf der zentralen Konsole und eine auf dem Sensor), oder irre ich mich?
>
> Die eigentliche Frage ist, ob und wie bei einer späteren Analyse nach einem Incident die vom unified Plugin erzeugten Dateien verwendet werden können. Wie sollte man grundsätzlich bei der Datenspeicherung zur späteren Auswertung vorgehen?
>
> Vielen Dank im Voraus,
> sMiLe
Dies hängt tatsächlich ganz von Ihren Anforderungen ab. Wenn Sie über genügend Arbeitsspeicher verfügen, können Sie den gesamten Netzwerkverkehr gleichzeitig auch noch von tcpdump in eine pcap-Datei schreiben lassen. Diese enthält dann für eine spätere Analyse mit wireshark und ähnlichen Werkzeugen sämtliche Daten. Diese könnten dann täglich oder nach einer Woche gelöscht werden.
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: