Добрый день.
Можно ли добавить в SIEM данные Snort?
Как это сделать?
Официальной поддержки для snort у нас пока нет. Надо в ручную фильтры в logstash настраивать. Это обсуждалось тут. Есть filebeat module для Suricata.
Игорь, спасибо за ответ. Но мой вопрос заключался несколько в другом.
Сейчас нет проблемы с интеграцией snort 3 и ELK:
Snort 3 пишет логи в формате json, которые без проблем парсятся в elastic.
Я хотел бы понять логику работы ELK SIEM. Какие данные используются для работы? Можно ли использовать данные из другой IDS именно в работе SIEM.
Это не ELK, это Elastic Stack. 
Elastic SIEM ожидает данные в формате ECS. Это формат, который используют все остальные загрузчики данных. Так что если вы подгоните свои данные под ECS и подправите index patterns, то они должны появиться в существующих визуализациях.
Понял.
То есть SIEM использует определенные поля из ESC. Соответственно, если использовать такие же поля в индексе со снортом и указать в сием указать индекс снорта, то сием сам подтянет соответсвующие поля.
Спасибо. Попробую)
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.