BS
Suricata
Elasticsearch
Logstash
Kibana
Scirius Community Edition
EveBox
Size: a a a
2019 November 20
IS
А почему suricata, а не snort?
AM
А почему suricata, а не snort?
Suricata тот же Snort, только он поддерживает больше плюшек, группировку rules баллансировку нагрузки, и многопоточный режим. Очень актуально, когда у СОВ высокий приоритет процесса, может сожрать все вычислительные мощности не по делу и занизить трафик, если используется не на SPAN порту.
IS
Suricata тот же Snort, только он поддерживает больше плюшек, группировку rules баллансировку нагрузки, и многопоточный режим. Очень актуально, когда у СОВ высокий приоритет процесса, может сожрать все вычислительные мощности не по делу и занизить трафик, если используется не на SPAN порту.
Спасибо, буду иметь ввиду. Сам не пользовал Суриката.
Ю
Спасибо, буду иметь ввиду. Сам не пользовал Суриката.
Суриката с гуем неплохо реализована в pfsense
MA
Спасибо, буду иметь ввиду. Сам не пользовал Суриката.
суриката хорошая, очень шустрая. Но надо допиливать.
MA
Юрий
Суриката с гуем неплохо реализована в pfsense
Это для тех кто любит freebsd.
AM
Спасибо, буду иметь ввиду. Сам не пользовал Суриката.
Suricata это форк Снорта.
IS
Я сам на FirePower сижу.
IS
Инфраструктура на cisco, грех ей было не воспользоваться.
Это конечно не open source, но на базе snort.
Мой вопрос больше любопытство, сам со snort знакомился с IDS.
Это конечно не open source, но на базе snort.
Мой вопрос больше любопытство, сам со snort знакомился с IDS.
MA
Suricata это форк Снорта.
нет.
IS
нет.
Мне казалось, что snort купила cisco и до сих пор поддерживает его opensouce версию.
Сомневаюсь, что в таких условиях мог появиться его форк.
Сомневаюсь, что в таких условиях мог появиться его форк.
MA
Мне казалось, что snort купила cisco и до сих пор поддерживает его opensouce версию.
Сомневаюсь, что в таких условиях мог появиться его форк.
Сомневаюсь, что в таких условиях мог появиться его форк.
Ну да. Суриката не форк, это отдельный проект от OISF и до покупки снорта там занимательные битвы были)
AM
Был не прав. С точки зрения пользователя эти ids довольно похожи. Интересует опыт, писал ли кто-нибудь правила для suricata под конкретное приложение в сети?
IS
Меня больше интересует вопрос SIEM.
Кто чем логи собирает, как нормализует, как допоняет из внешних источников, как фильтруют, как строят инцидент манаджмент.
Кто чем логи собирает, как нормализует, как допоняет из внешних источников, как фильтруют, как строят инцидент манаджмент.
AM
И разбирался ли кто нибудь с эвристикой в этих ids?
IS
И разбирался ли кто нибудь с эвристикой в этих ids?
В кассических IDS нет нормальной эвристики.
Максимум анаитику по DNS можно привязать и уровень реакции в зависимости от кассификации активов.
Максимум анаитику по DNS можно привязать и уровень реакции в зависимости от кассификации активов.
IS
Чтобы была нормальная эвристика, у тебя система должна получать метрики ИБ от смежных систем.
С
Меня больше интересует вопрос SIEM.
Кто чем логи собирает, как нормализует, как допоняет из внешних источников, как фильтруют, как строят инцидент манаджмент.
Кто чем логи собирает, как нормализует, как допоняет из внешних источников, как фильтруют, как строят инцидент манаджмент.
Раньше Splunk у многих стоял, потом ArcSight, сейчас, смотрю, у многих уже MaxPatrol SIEM стоит
MA
В кассических IDS нет нормальной эвристики.
Максимум анаитику по DNS можно привязать и уровень реакции в зависимости от кассификации активов.
Максимум анаитику по DNS можно привязать и уровень реакции в зависимости от кассификации активов.
немного паттернов вредоносного трафика есть. но иногда фолсит.