用鼻子哼哼

Snort是一个开源的网络入侵检测系统,可以检测威胁,是一个安全洋葱解决方案

在你开始之前

必须配置具有Snort日志的每台计算机,以便将数据发送到InsightIDR。

从一个作为Security Onion一部分运行Snort的实例中,Snort日志来自每台机器,并将按照以下步骤显示在InsightIDR中。

要将Snort日志发送到InsightIDR,请执行以下操作:

  1. 停止Snort和syslog ng服务。
  2. 通过运行以下命令修改Barnyard2-1.confsudo nano/etc/nsm//barnyard2-1.conf.
  3. 添加以下行:输出日志\系统日志\完整:传感器\名称$传感器名称,本地
          
文本
1.
输出日志\系统日志\完整:传感器\名称$传感器名称,本地
  1. 保存文件。
  2. 修改文件syslog-ng.conf通过运行以下命令:sudo nano/etc/syslog ng/syslog-ng.conf
  3. 找到线路日志{source(s_syslog);destination(d_net);};
  4. 在其上方添加以下内容:目的地数据网络{tcp($your_collector_ip“端口(、事件源端口)日志_fifo_大小(1000));};
  5. 保存文件。
  6. 使用以下命令重新启动syslog ng:sudo服务syslog ng重新启动
  7. 重新启动snort和barnyard并运行以下命令:sudo规则更新

您现在应该能够在InsightIDR中看到Snort日志。

如何在InsightIDR中配置此事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“安全数据”部分,单击身份证偶像此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 可选择发送未过滤原木.
  7. 选择一个收集方法并指定端口和协议。
    • 如果通过下载选择TCP,可以选择加密事件源Rapid7证书.
  8. 点击拯救