有什么方法可以保存 Suricata 警报负载?

tag-icon tag-icon snort graylog
有什么方法可以保存 Suricata 警报负载?

我已按照一些说明设置 Graylog 和 Snort(但我使用了 Suricata)这里但如果能够看到引发该事件的警报负载就更好了。

名为的应用程序斯诺比曾经完美地做到了这一点。您可以查看有效载荷的十六进制转储,以更好地确定事件的严重性。据我所知,Snorby 的开发已经停止了很长时间。有人知道是否有办法使用 Graylog/Suricata 获得这种功能吗?我想如果 Suricata 可以以某种方式保存有效载荷,那么它就可以以某种方式发送到 Graylog,只是不确定哪种机制最好。

答案1

我用夏娃盒子查看 Suricata 的警报、事件等。如果您使用 Elasticsearch,它还可以显示图表报告。

EveBox 是一个基于 Web 的 Suricata “eve” 事件查看器,适用于 Elastic Search。

特征:

  • 基于 Web 的事件查看器,采用“收件箱”方式进行警报管理。事件搜索。
  • 将 Suricata 事件发送到 EveBox 服务器的代理(但您也可以使用 Filebeat/Logstash)。
  • 嵌入式 SQLite,用于独立安装。

Suricata 基于网络的报告

相关内容