Estoy trabajando en un proyecto que tiene cuatro entidades (snort, logstash, elasticsearch, kibana). Estoy manteniendo el snort que se implementa en Centos 7, snort pone un metadata en el archivo de alerta (/ var / log / alert) estos datos se extrae de logsatsh- > elasticsearch- > kibana, ahora un analista de seguridad me pide que proporcione datos de pcap sin formato (forma legible) para mapear con alertas en kibana para su análisis. Solicito a la comunidad que me ayude en cómo podemos proceder. Soy muy nuevo en proyectos de seguridad
Do I need to tweak the snort or any ideas you have, I need your help, I have pcap raw log file snort.log.xxxxx in the folder(/var/log/snort)Hasta ahora he investigado, tengo pocos enlaces pero no me brindan apoyo, y inicialmente he intentado escribir un script que usa (tcpdump, tshark) para convertir los registros de pcap a un formato legible, incluso esto tampoco es útil. ideas