¿Existe alguna herramienta o método para separar el tráfico normal y el tráfico malicioso de pcap? Por ejemplo: si se detecta tráfico malicioso con snort, necesito almacenar esos paquetes. Solo si hay tráfico malicioso. Gracias por responder.
En lugar de que Snort escuche en una interfaz, puedes darle una captura de paquetes para leer. Snort leerá y analizará los paquetes como si se hubieran desconectado.
Consulte enlace
Esto te ayudaría a comprender los paquetes que Snort detectó.
Entiendo que este es un intento de establecer una línea de base de su red, pero para hacerlo, debe identificar las aplicaciones y los protocolos de los que depende su empresa o agencia. Cataloga esos; Identificar los servidores, puertos y rangos de clientes aceptables. Si no puede identificar de qué depende la misión y qué está autorizado para acceder a esos recursos, entonces el análisis automatizado de paquetes será, en el mejor de los casos, una suposición basada en una noción de normalidad que no tiene nada que ver con su organización.
Lea otras preguntas en las etiquetas forensics security-theater snort