Contenu | Rechercher | Menus

Annonce

Ubuntu-fr vend de superbes t-shirts et de belles clés USB 32Go
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/03/2019, à 10:24

fan2tango

suricata et outils complémentaires

Bonjour à tous,

Config : Ubuntu 18.04 LTS

Dans le cadre de la mise en place d'un IDS/IPS, je me suis orienté vers Suricata pour la partie du moteur de détection et donc la capture des événements, la création d'alertes.
Bon, c'est installé, mais pour l'instant ça ne fait que créer des logs; c'est déjà pas si mal après tout big_smile

Je dois donc passer à la suite qui est probablement l'analyse des logs pour intégrer :
- une interface utilisateur de consultation
- une interface avec iptables pour que ce soit efficace.

J'ai lu diverses docs mais conseils, avis et aides seraient les bienvenus.

J'ai vu ELK dont le K pour Kibana qui est le frontend,  Mais si j'ai bien compris, nous sommes en analyse des logs et interface de visualisation mais sans interaction avec le firewall.

J'ai vu Banyard2 qui ne fonctionne visiblement pas seul mais doit être enrichi de :
- Snortsam pour une interaction avec le firewall,
- SNORBY pour la consultation des alertes,
- et éventuellement de SIEM pour la gestion mais je n'ai pas encore trop compris son rôle.

Il y a peut-être d'autres solutions.

Quelqu'un pourrait-il me conseiller/aiguiller sur ce sujet ?

Hors ligne