Ubuntu-fr

fan2tango

suricata et outils complémentaires

Bonjour à tous,

Config : Ubuntu 18.04 LTS

Dans le cadre de la mise en place d'un IDS/IPS, je me suis orienté vers Suricata pour la partie du moteur de détection et donc la capture des événements, la création d'alertes.
Bon, c'est installé, mais pour l'instant ça ne fait que créer des logs; c'est déjà pas si mal après tout

Je dois donc passer à la suite qui est probablement l'analyse des logs pour intégrer :
- une interface utilisateur de consultation
- une interface avec iptables pour que ce soit efficace.

J'ai lu diverses docs mais conseils, avis et aides seraient les bienvenus.

J'ai vu ELK dont le K pour Kibana qui est le frontend,  Mais si j'ai bien compris, nous sommes en analyse des logs et interface de visualisation mais sans interaction avec le firewall.

J'ai vu Banyard2 qui ne fonctionne visiblement pas seul mais doit être enrichi de :
- Snortsam pour une interaction avec le firewall,
- SNORBY pour la consultation des alertes,
- et éventuellement de SIEM pour la gestion mais je n'ai pas encore trop compris son rôle.

Il y a peut-être d'autres solutions.

Quelqu'un pourrait-il me conseiller/aiguiller sur ce sujet ?

lepierot

Re : suricata et outils complémentaires

Bonsoir,
Je tente depuis plus d'une semaine d'installer Selks via une machine Virtuelle Vmware mais la VM se fige et rien ne fonctionne.

Je fais ca chez moi a partir d'un ordinateur portable derriere une box Red-sfr.

Avez vous reussi vous ?

Merci