Elastic SIEM + snort

Добрый день.
Можно ли добавить в SIEM данные Snort?
Как это сделать?

Официальной поддержки для snort у нас пока нет. Надо в ручную фильтры в logstash настраивать. Это обсуждалось тут. Есть filebeat module для Suricata.

Игорь, спасибо за ответ. Но мой вопрос заключался несколько в другом.
Сейчас нет проблемы с интеграцией snort 3 и ELK:


Snort 3 пишет логи в формате json, которые без проблем парсятся в elastic.

Я хотел бы понять логику работы ELK SIEM. Какие данные используются для работы? Можно ли использовать данные из другой IDS именно в работе SIEM.

Это не ELK, это Elastic Stack. :slight_smile:

Elastic SIEM ожидает данные в формате ECS. Это формат, который используют все остальные загрузчики данных. Так что если вы подгоните свои данные под ECS и подправите index patterns, то они должны появиться в существующих визуализациях.

Понял.
То есть SIEM использует определенные поля из ESC. Соответственно, если использовать такие же поля в индексе со снортом и указать в сием указать индекс снорта, то сием сам подтянет соответсвующие поля.
Спасибо. Попробую)