Я выполнил некоторые инструкции по настройке Graylog и Snort (однако я использовал Suricata) здесь , но было бы неплохо увидеть, какие полезные данные Alert генерировали событие.
Приложение под названием Snorby использовало это прекрасно. Вы можете просмотреть шестнадцатеричный дамп полезной нагрузки, чтобы лучше определить критичность события. Насколько мне известно, разработка Snorby прекратилась некоторое время назад. Кто-нибудь знает, есть ли способ получить такую функциональность с Graylog / Suricata? Я предполагаю, что если Suricata сможет каким-то образом сохранить полезную нагрузку, ее можно будет как-то отправить в Graylog, просто не знаю, какой механизм будет лучше.
Я использую EveBox для просмотра предупреждений, событий и т.д. Suricata. Он также может отображать отчет в виде графика, если вы используете Elasticsearch.
EveBox - это веб-программа просмотра событий Suricata "канун" для Elastic Search.
Характеристики: