哼声

概述

Snort“是一个开源,免费和轻量级的网络入侵检测系统(NIDS)软件,用于Linux和Windows,以检测新兴威胁。”

在你开始之前

从作为安全洋葱的一部分运行Snort的实例,Snort日志来自每个单独的机器,并将出现在具有以下步骤的Insigrops中。

1:通过运行修改barnyard2-1.confsudo nano / etc / nsm / <插入嗅探界面> / barnyard2-1.conf。从这里添加以下行

          
文本
1
输出log_syslog_full:sensor_name $ sensor-name,local
  • 然后保存文件。

2:通过运行修改syslog-ng.confsudo nano /etc/syslog-ng/syslog -ng.conf.并在上面添加以下行日志{source(s_syslog);目的地(D_NET);};

          
文本
1
目标d_net {tcp(“$ your_collector_ip”端口(¢event_source-port)log_fifo_size(1000));};
  • 然后保存文件。

3:打开终端循环服务

  • 使用以下命令重新启动syslog-ng:
          
文本
1
sudo服务syslog-ng重启
  • 重新启动Snort和Barneard并运行以下命令:
          
文本
1
sudo规则更新

如何配置此事件源

  1. 从仪表板中,选择左侧菜单上的数据集合
  2. 在页面的右上角,选择添加数据
  3. 从安全数据部分中选择IDS图标
  4. 选择收集器,并选择命名您的活动源
  5. 从事件源选项列表中,选择Snort
  6. 选择一个时区,或者可选择选择美国时区
  7. 可选择选择发送未过滤的日志
  8. 在几分钟内配置不活动超时阈值。
  9. 选择侦听syslog或log aggregator;两者都要求您指定端口和协议。如果选择TCP,可选择选择加密事件源
  10. 如果您选择加密,请选择按钮“下载证书”,该按钮将下载Rapid7的证书。此文件将被调用Rapid7ca.pem.在日志转发期间,将允许Insightops和Snort彼此相互信任“。