Me gustaría utilizar algunos de los productos tipo SIEM gratuitos que existen para aumentar las posibilidades de que detecte ataques y compromisos de cualquiera de los dispositivos en mi red doméstica. La mayoría de los dispositivos de mi casa funcionan con Linux. Solo me interesan las soluciones que son posibles sin una gran inversión de esfuerzo (no más de ~ 5 horas de configuración, por ejemplo, y un mínimo de alimentación manual y riego).
Tengo los activos habituales de la red doméstica que me gustaría proteger: integridad y disponibilidad de los recursos informáticos, incluido el ancho de banda (sería bueno saber que formé parte de una red de bots); confidencialidad de las credenciales de la cuenta en línea; disponibilidad de medios almacenados, etc.
Algunas investigaciones sobre este sitio y Google ha sugerido que Snort + Snorby podría ser una opción; También tengo experiencia en el uso de Splunk , que es gratuito para hasta 500 mb de registros por día y se puede asociar con cualquier número de otros Productos (soy un poco fanático de Splunk, aunque no lo he usado con fines de seguridad).
¿Es esto viable o todas las herramientas de SIEM están diseñadas para ser ejecutadas por profesionales de operaciones de seguridad a tiempo completo? Si es viable, ¿qué puedo configurar Snort + Snorby para detectar / qué aplicaciones o públicamente ¿Las configuraciones y búsquedas disponibles debo usar con Splunk?
¿Cuál de estas dos opciones es más probable que cumpla con mis objetivos de bajo esfuerzo de instalación y mantenimiento mientras sigue siendo útil?
Estoy particularmente interesado en las experiencias de cualquier persona * que tenga tal configuración, pero las opiniones basadas en la experiencia profesional que utilizan estas herramientas también son más que bienvenidas.
* si tienes una configuración ejecutándose en casa y también eres una persona de segundo lugar que se dedica a esto, por favor, menciona este hecho :)