Snortは素晴らしいですが、BASEはそうではありません。いくつかの代替フロントエンドは何ですか?
[〜#〜] base [〜#〜] はACIDの改良版ですが、それを使用していないユーザーが保守していることは簡単にわかります。 McAfeeのNUBA IDSやその他多くのネットワークアクティビティのように、ネットワークアクティビティの概要が一目でわかりません。また、パターンの検索は、Splunkのようなログアグリゲーターに比べて不便で時間がかかります。
私はBASEのいくつかの代替案を知っています:
Sguil は、イベントの見栄えがいくらか良くなりますが、その古さを示しており、tcl/tkインターフェースは、Windowsデスクトップからのリモートのsnortセンサーのセットで使用するのが面倒です。
[〜#〜] ossim [〜#〜] はいくつかのきれいなチャートを提供しますが、単一のパッケージでトップレベルのSIEMになりたいので、よりモジュール化された構成可能なネットワークが必要です-それよりも焦点を当てた。
Snorby は興味をそそられるように見えますが、私がまだインストールして使用していないのは、この束のうちの1つです。デモサイトが私の仕事用デスクトップから機能していません。自宅でのみ。
「そして、デモウェブサイトはログオンを許可しません。これは極端な自信を生むことはありません」ouch ..私はSnorbyの開発者であり、「[email protected]」と入力していたと100米ドルを賭けます(試してください。 org)。 Snorby 2.x.xのリリース以来、認証やデモのダウンタイムに関する問題は一度もありませんでした。プロジェクトに関する否定的なコメントを多数の聴衆に投稿する前に、資格情報を十分に確認してください。
Snorbyは別として、Sguilをお勧めします。 Sguilは、完全なパケットキャプチャ、セッションデータ、その他多数の強力な機能を提供します。悪いUIは、貴重なデータの代金を払うための小さな代償です。
Aanval ®を使用しています。 Aanval v7の新機能は、ホストネットワークの詳細なイベントとアーキテクチャ分析を提供する独自のSituational Awarenessエンジンです。いくつかのケースではBASEよりも優れていますが、少しSIEMですが、BASEおよびSnorbyと一緒に使用します。
ポケットに十分なお金があるか、500MB未満の場合(ただし注意してください:攻撃が発生し、ログファイルが大量にある場合、一定時間制限を超えた場合、splunkは解析を非アクティブ化することがあります)