Quiero conectar algunos sensores como Snort y OSSEC a AlienVault SIEM. ¡¿Cómo puedo hacer eso?! ¿Es posible enviar registros a través de syslog?
Quiero conectar algunos sensores como Snort y OSSEC a AlienVault SIEM. ¡¿Cómo puedo hacer eso?! ¿Es posible enviar registros a través de syslog?
Para OSSEC, puede generar nuevas claves para cada agente que reportará al servidor OSSEC instalado en el servidor OSSIM (ver Análisis | Detección | HIDS)
Para Snort, la forma más fácil y recomendada es instalar un perfil de sensor OSSIM, que viene con Snort y le proporciona las nuevas reglas con el comando alienvault-update
Pero si no está interesado en eso, porque tiene una instalación de Snort funcionando, puede enviar los registros unificados2 al servidor OSSIM utilizando rsyslog, y verificar en snort.cfg que el directorio var está apuntando al lugar correcto .
Estos problemas se explican en el Manual del usuario: enlace
Me doy cuenta de que esto ya tiene una respuesta aceptada pero este es un resumen rápido de cómo configurar esto.
snort.conf
output alert_syslog: LOG_DAEMON LOG_ALERT
rsyslog.conf
daemon.* @alienvault-server
ossim_setup.conf
detectors=...,snort_syslog,...
snort_syslog.cfg
location=/var/log/daemon.log