Каким образом можно сохранить полезную нагрузку предупреждений Suricata?
Я выполнил некоторые инструкции по настройке Graylog и Snort (однако я использовал Suricata) здесь , но было бы неплохо увидеть, какие полезные данные Alert генерировали событие.
Приложение под названием Snorby использовало это прекрасно. Вы можете просмотреть шестнадцатеричный дамп полезной нагрузки, чтобы лучше определить критичность события. Насколько мне известно, разработка Snorby прекратилась некоторое время назад. Кто-нибудь знает, есть ли способ получить такую функциональность с Graylog / Suricata? Я предполагаю, что если Suricata сможет каким-то образом сохранить полезную нагрузку, ее можно будет как-то отправить в Graylog, просто не знаю, какой механизм будет лучше.
Я использую EveBox для просмотра предупреждений, событий и т.д. Suricata. Он также может отображать отчет в виде графика, если вы используете Elasticsearch.
EveBox - это веб-программа просмотра событий Suricata "канун" для Elastic Search.
Характеристики:
- Веб-программа просмотра событий с подходом «Входящие» для управления предупреждениями. Поиск по событию.
- Агент для отправки событий Suricata на сервер EveBox (но вместо этого вы можете использовать Filebeat / Logstash).
- Встроенный SQLite для автономных установок.
