Snort es genial, pero BASE no lo es. ¿Cuáles son algunas alternativas frontales?

Navega tus respuestas
10

BASE es una mejora con respecto a ACID, pero es fácil decir que la mantiene alguien que no la usa. No hay una visión general de la actividad de la red como la que se obtiene con los NUBA IDS de McAfee y muchos otros, y la búsqueda de patrones es incómoda y lenta en comparación con los agregadores de registros como Splunk.

Soy consciente de algunas alternativas a BASE:

  • Sguil ofrece una visión algo más agradable de los eventos, pero muestra su edad y el tcl / tk La interfaz es difícil de usar en un conjunto remoto de sensores de snort desde un escritorio de Windows.

  • OSSIM proporciona algunos gráficos bonitos, pero quiere ser su SIEM de nivel superior en un solo paquete, y necesito algo más modular, configurable y centrado en la red que eso.

  • Snorby se ve intrigante, pero es uno de los muchos que ni siquiera he intentado instalar y usar todavía; el sitio de demostración no me ha funcionado desde el escritorio de mi trabajo; solo en casa.

pregunta user502 07.02.2011 - 15:12
fuente

3 respuestas

8

"y el sitio web de demostración no me permitió iniciar sesión, lo que no genera una confianza extrema" ouch .. Soy el desarrollador de Snorby y apostaré 100 USD si escribes "[email protected]" (prueba .org). Nunca he tenido un problema con la autenticación o el tiempo de inactividad de la demostración desde el lanzamiento de Snorby 2.x.x. Asegúrese de verificar las credenciales a fondo antes de publicar comentarios negativos sobre un proyecto para una gran audiencia.

Aparte de Snorby recomendaría Sguil. Sguil ofrece captura completa de paquetes, datos de sesión y muchas otras funciones potentes. Una mala interfaz de usuario es un pequeño precio para pagar por datos valiosos.

    
respondido por el mephux 08.02.2011 - 23:02
fuente
1

Estoy usando Aanval ®. Lo nuevo en Aanval v7 es su exclusivo motor de conocimiento de la situación, que proporciona un análisis profundo de la arquitectura del evento y la arquitectura del host. En algunos casos es mejor que BASE, es un poco SIEM, pero lo uso junto con BASE y Snorby.

    
respondido por el Mohsen Gh. 16.05.2012 - 20:34
fuente
0

si tienes suficiente dinero en tu bolsillo o menos de 500 mb (pero en caso de un ataque, y muchos y muchos de los archivos de logotipos splunk pueden desactivar su análisis si superas tus límites durante un tiempo determinado)

splunk for snort

    
respondido por el that guy from over there 11.07.2013 - 09:52
fuente

Lea otras preguntas en las etiquetas

Auditoría de PCI: usando tarjetas de "prueba" ¿Cómo garantizar que los invitados de VirtualBox no puedan salir de la máquina virtual para acceder al equipo host? [duplicar]