Re: [FUG-BR] [OFF-TOPIC] Suricata x Snort - o que muda?
Muito bom mesmo! -- Daniel Melo (d4n1 3:) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Suricata x Snort - o que muda?
Em 2 de janeiro de 2013 12:05, Welkson Renny de Medeiros welk...@gmail.comescreveu: Senhores, bom dia! Estou a alguns dias implantando um novo servidor (FreeBSD 9.1 amd64 sob ESXi 5.1), e cheguei na parte de segurança. No servidor antigo eu tinha Snort + OSSEC (com Active Response) + Base... as versões eram bem antigas... decidi então nesse novo servidor (com BSD 9.1) usar as mais atuais... A primeira bronca foi logo com o Snort, que nessa versão não mais permite fazer output em banco de dados [1]... instalei o tal do Barnyard2, mas ainda não consegui gerar os logs do Snort no padrão que o Barnyard entende (Unified2)... quando ativo qualquer tipo de output, os logs deixam de ser gerados... com todos os outputs comentados, pelo menos o /var/log/snort/alert funfa direitinho (mas o Barnyard não interpreta isso). A algum tempo vi o Patrick comentando sobre o Suricata, que me parece ser um fork do Snort. Alguém tem usado? output database funfa direitinho? compatível com as rules do Snort? [1] http://blog.snort.org/2012/07/database-output-is-dead-rip.html Feliz 2013 a todos! =) Welkson Renny Natal/RN Fazendo mais buscas encontrei algumas respostas. De acordo com o link abaixo, Emerging Threats não funciona no Snort (eu uso essas rules) - SO rules não conhecia: http://www.aldeid.com/wiki/Suricata-vs-snort#Rules http://www.aldeid.com/wiki/EN:Snort/Rules/SO_Rules Não vi database na lista de Outputs: http://suricata-ids.org/features/all-features/ Qualquer comentário sobre Snort x Suricata será bem vindo. Welkson Renny Natal/RN - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Suricata x Snort - o que muda?
2013/1/2 Welkson Renny de Medeiros welk...@gmail.com: Senhores, bom dia! Estou a alguns dias implantando um novo servidor (FreeBSD 9.1 amd64 sob ESXi 5.1), e cheguei na parte de segurança. No servidor antigo eu tinha Snort + OSSEC (com Active Response) + Base... as versões eram bem antigas... decidi então nesse novo servidor (com BSD 9.1) usar as mais atuais... A primeira bronca foi logo com o Snort, que nessa versão não mais permite fazer output em banco de dados [1]... instalei o tal do Barnyard2, mas ainda não consegui gerar os logs do Snort no padrão que o Barnyard entende (Unified2)... quando ativo qualquer tipo de output, os logs deixam de ser gerados... com todos os outputs comentados, pelo menos o /var/log/snort/alert funfa direitinho (mas o Barnyard não interpreta isso). A algum tempo vi o Patrick comentando sobre o Suricata, que me parece ser um fork do Snort. Alguém tem usado? output database funfa direitinho? compatível com as rules do Snort? [1] http://blog.snort.org/2012/07/database-output-is-dead-rip.html Feliz 2013 a todos! =) Welkson Renny Natal/RN - No endereço abaixo [1] você vai encontrar um material do próprio Patrick Tracanelli sobre os dois, com comparativos bem interessantes, acredito que valha a pena você dar uma olhada. [1] http://www.bhack.com.br/talks/Patrick/BHACK2.pdf -- Atenciosamente, Antônio Pessoa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OFF-TOPIC] Suricata x Snort - o que muda?
Em 2 de janeiro de 2013 18:52, Antônio Pessoa atnpes...@gmail.comescreveu: No endereço abaixo [1] você vai encontrar um material do próprio Patrick Tracanelli sobre os dois, com comparativos bem interessantes, acredito que valha a pena você dar uma olhada. [1] http://www.bhack.com.br/talks/Patrick/BHACK2.pdf -- Atenciosamente, Antônio Pessoa Baixei os slides do BHack a algumas semanas mas ainda não tinha analisado :( Cara, vendo as explicações do Patrick... o Suricata parece muito interessante! =) Amanhã vou instalar e dar uma brincada. Obrigado pela dica meu amigo! Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd