Esto es nuevo para mí, pero ¿qué tipo de datos registra Snort para la detección de intrusos en la red?
Estoy adivinando la marca de tiempo, la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino, el protocolo. ¿Hay algo más?
Snort admite varios formatos de salida para el analizador de registros donde se utiliza principalmente el formato CSV. Para configurar Snort para utilizar el formato de salida CSV, agregue la siguiente línea en el archivo snort.conf:
output alert_csv: alert.csv default
Por defecto, hay 28 campos disponibles para el análisis de registros que incluyen la marca de tiempo, sig_generator, sig_id, sig_rev, msg, proto, etc. Para comprender Snort Log Management, recomiendo leer " Managing Snort Alerts "
Básicamente, snort observa el tráfico de paquetes de red. Se puede configurar para registrar y / o informar sobre cualquier información que esté disponible en el paquete de red. En la mayoría de los casos, solo está atrapando datos de trama y encabezado, pero también puede usarse para un conjunto bastante robusto de funciones de inspección profunda de paquetes (DPI). DPI le permite ordenar / rastrear / atrapar / etc en función de la información que se encuentra realmente dentro del paquete, además de su conjunto de reglas de snort. Para obtener un conjunto completo de funciones, consulte la documentación de snort en enlace . Las preguntas frecuentes también son bastante útiles para este tipo de pregunta.