Я выполнил некоторые инструкции по настройке Graylog и Snort (однако я использовал Suricata) Вот но было бы неплохо увидеть, какая полезная нагрузка оповещения сгенерировала событие.
Приложение с именем Snorby раньше делал это красиво. Вы можете просмотреть шестнадцатеричный дамп полезной нагрузки, чтобы лучше определить критичность события. Насколько мне известно, разработка Snorby прекратилась некоторое время назад. Кто-нибудь знает, есть ли способ получить такую функциональность с Graylog / Suricata? Я предполагаю, что если Suricata может каким-то образом сохранить полезную нагрузку, ее можно как-то отправить в Graylog, просто не знаю, какой механизм будет лучше.
я использую EveBox чтобы увидеть предупреждения, события и т. д. Suricata. Он также может отображать отчет в виде графика, если вы используете Elasticsearch.
EveBox - это веб-программа для просмотра событий «кануна» Suricata для эластичного поиска.
Особенности: