哼声

概述

Snort“是一个开源，免费和轻量级的网络入侵检测系统（NIDS）软件，用于Linux和Windows，以检测新兴威胁。”

在你开始之前

从作为安全洋葱的一部分运行Snort的实例，Snort日志来自每个单独的机器，并将出现在具有以下步骤的Insigrops中。

1：通过运行修改barnyard2-1.confsudo nano / etc / nsm / <插入嗅探界面> / barnyard2-1.conf。从这里添加以下行

          

           文本

            
           
          

           

            

             1
            输出log_syslog_full：sensor_name $ sensor-name，local
           

• 然后保存文件。

2：通过运行修改syslog-ng.confsudo nano /etc/syslog-ng/syslog -ng.conf.并在上面添加以下行日志{source（s_syslog）;目的地（D_NET）;};

          

           文本

            
           
          

           

            

             1
            目标d_net {tcp（“$ your_collector_ip”端口（¢event_source-port）log_fifo_size（1000））;};
           

• 然后保存文件。

3：打开终端循环服务

• 使用以下命令重新启动syslog-ng：

          

           文本

            
           
          

           

            

             1
            sudo服务syslog-ng重启
           

• 重新启动Snort和Barneard并运行以下命令：

          

           文本

            
           
          

           

            

             1
            sudo规则更新
           

如何配置此事件源

1. 从仪表板中，选择左侧菜单上的数据集合
2. 在页面的右上角，选择添加数据
3. 从安全数据部分中选择IDS图标
4. 选择收集器，并选择命名您的活动源
5. 从事件源选项列表中，选择Snort
6. 选择一个时区，或者可选择选择美国时区
7. 可选择选择发送未过滤的日志
8. 在几分钟内配置不活动超时阈值。
9. 选择侦听syslog或log aggregator;两者都要求您指定端口和协议。如果选择TCP，可选择选择加密事件源
10. 如果您选择加密，请选择按钮“下载证书”，该按钮将下载Rapid7的证书。此文件将被调用Rapid7ca.pem.在日志转发期间，将允许Insightops和Snort彼此相互信任“。