Настройка получения событий Snort

Вы можете настроить получение событий программы Snort версии 3 в

SIEM-систему

SIEM-система (Security Information and Event Management) – решение для управления информацией и событиями в системе безопасности организации.

Настройка получения событий состоит из следующих этапов:

1. Настройка журналирования событий Snort.
2. Создание коллектора KUMA для получения событий Snort.

   Для получения событий Snort в мастере установки коллектора на шаге Парсинг событий выберите нормализатор [OOTB] Snort 3 json file, на шаге Транспорт выберите тип коннектора file.

3. Установка коллектора KUMA для получения событий Snort.
4. Проверка поступления событий Snort в коллектор KUMA.

   Вы можете проверить, что настройка сервера источника событий Snort выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.

Настройка журналирования событий Snort

Убедитесь, что на сервере, на котором запущен Snort, есть минимум 500 МБ свободного дискового пространства для сохранения одного журнала событий Snort.
По достижении объема журнала 500 МБ Snort автоматически создаст новый файл, в имени которого будет указано текущее время в формате unixtime.
Мы рекомендуем отслеживать заполнение дискового пространства.

Чтобы настроить журналирование событий Snort:

1. Подключитесь к серверу, на котором установлен Snort, под учетной записью, обладающей административными привилегиями.
2. Измените конфигурационный файл Snort. Для этого в командном интерпретаторе выполните команду:

   sudo vi /usr/local/etc/snort/snort.lua

3. В конфигурационном файле измените содержимое блока alert_json:

   alert_json =

   {

   file = true,

   limit = 500,

   fields = 'seconds action class b64_data dir dst_addr dst_ap dst_port eth_dst eth_len \

   eth_src eth_type gid icmp_code icmp_id icmp_seq icmp_type iface ip_id ip_len msg mpls \

   pkt_gen pkt_len pkt_num priority proto rev rule service sid src_addr src_ap src_port \

   target tcp_ack tcp_flags tcp_len tcp_seq tcp_win tos ttl udp_len vlan timestamp',

   }

4. Для завершения настройки выполните следующую команду:

   sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -i <название интерфейса, который прослушивает Snort> -m 0x1b

В результате события Snort будут записываться в файл /var/log/snort/alert_json.txt.