Las mejores ids Tus preguntas

0

respuestas

obtener datos de sesión (transmisión de datos) en los ID de Snort [cerrado]

¿Puede alguien señalarme dónde (en el código) se almacena el Snort justo antes de enviarlo a httprespect o escribirlo en los archivos de salida? Gracias.

hecha 05.11.2015 - 03:27

1

respuesta

SNORT sfportscan formato de alerta [cerrado]

¿Cómo puedo modificar la alerta de salida de sfportscan? Ej: output alert_csv: /var/log/snort/portscan.log timestamp,src,dst,dstport,msg OBS: ¿Puedo configurar la salida para el archivo de alerta predeterminado con este método? ...

hecha 29.07.2015 - 16:33

0

respuestas

¿Existe una manera más fácil de probar que suricata tiene suficientes recursos para ejecutarse sin perder paquetes?

Me gustaría ver el efecto de cambiar mi hardware y software de Suricata y, en particular, asegurarme de que puedo determinar la tasa por encima de la cual comenzaré a perder datos. Estoy ejecutando ESXi con 20 núcleos y mucha memoria RAM, pero t...

hecha 17.02.2016 - 18:43

0

respuestas

Adición de Windows 7 VM como fuente de registro / forzando el IDS en línea

Estoy investigando formas de agregar mi Windows 7 VM como fuente de registro o incluso ejecutar ese tráfico a través de mi IDS VM y luego a Internet, pero no estoy del todo seguro de cómo abordarlo. ¿Alguien tiene alguna sugerencia? Tuve la e...

hecha 07.11.2015 - 03:01

0

respuestas

¿Cómo probar OSSEC HIDS utilizando un conjunto de datos de Linux que contiene trazas de llamadas del sistema sin formato?

Se me ha asignado la tarea de probar la efectividad de OSSEC HIDS (por efectividad me refiero a la tasa de detección que alcanza, así como a la tasa de falsos positivos) cuando se usa un conjunto de datos de rastreos de llamadas del sistema sin...

hecha 07.06.2015 - 17:31

0

respuestas

Análisis de alertas de Snort (interfaz web) [cerrado]

Tengo una pregunta sobre Snort (o quizás cualquier otra IDS / IPS, cualquier solución que funcione estaría bien). El objetivo es configurar alguna interfaz web que proporcione una forma de ver los paquetes completos de flujo TCP de cada alert...

hecha 13.04.2015 - 12:06

0

respuestas

¿OSSEC no detecta los archivos eliminados?

He configurado 3 máquinas virtuales: servidor ossec y dos agentes en CentOS 6 y Windows 2k8 R2. He completado la configuración y FIM y Log Management funcionan sin problemas. También informa de los nuevos archivos. Sin embargo, no detecta (o pre...

hecha 08.12.2014 - 11:30

1

respuesta

¿Usar snort con cloudflare? [cerrado]

¿Cómo podría funcionar Snort u otro sistema IDS con Cloudflare? Esencialmente, la IP de origen sería la de CloudFlare, por lo tanto, un IPS proactivo podría ser difícil de instalar. Comprendo que Cloudflare en sí es un IPS hasta cierto punto...

hecha 25.01.2015 - 07:36

0

respuestas

IDS / IPS de diferencia 2 o 3

Entiendo que un IDS / IPS que trabaja en la capa 2 tiene más información sobre lo que está sucediendo. Pero considerando las evasiones de IDS / IPS, ¿por qué es preferible un dispositivo de capa 2 en comparación con un dispositivo de capa 3 que...

hecha 13.05.2014 - 14:07

0

respuestas

Snort no muestra paquetes perdidos / bloqueados

Esta pregunta es sobre SNORT: básicamente estoy tratando de detectar PING FLOOD attack . He incluido el regla ** (elimine icmp cualquiera cualquiera - > cualquiera cualquiera (itype: 8; umbral, seguimiento by_src, cuenta 20, segund...

hecha 06.02.2014 - 09:09

Preguntas con etiqueta 'ids'