Tengo que escribir alertas en la herramienta SIEM. ¿Tenemos algún código de eventos para Unix como lo tenemos en Windows?
Si es así, ¿dónde puedo encontrar eso?
Si no es así, ¿sobre qué base podemos escribir alertas para sabores o máquinas de Unix? Sería necesario para auditorías, aplicaciones o alertas basadas en la red.
¿Tenemos algún código de eventos para Unix como lo tenemos en Windows?
no. lo que tienes es un montón de software que escribe archivos de registro, pero estos archivos de registro no siguen ningún estándar.
Si no es así, ¿sobre qué base podemos escribir alertas para sabores o máquinas de Unix? para Auditoría, aplicaciones o alertas basadas en red.
Los ataques basados en la red generalmente son detectados por un NIDS como snort, suricata, bro (fuente abierta) o cualquier IDS comercial que use. cualquier SIEM decente debería tener conectores para este tipo de sistemas de alerta.
lo mismo se aplica a la intrusión basada en host con herramientas como OSSEC u otras cosas de código abierto que funcionan en logfile-analaysis. Para cualquier NIDS / HIDS y SIEM graves, encontrará conectores y formas de inyectar eventos de ese sistema en el SIEM