Você configura os plugins de saída
no Snort para armazenar os dados de alerta registrados pelo sensor. O Snort não armazena inerentemente dados; Ele precisa ser explicitamente informado para onde e como enviar as informações de alerta. Plugins e configurações comuns de saída incluem:
*
`unified2` (ou similar): Este é um plug -in de saída comum e altamente versátil que permite uma variedade de métodos de saída. Você configuraria este plug -in com o destino para os dados de alerta. Isso pode ser:
*
Um banco de dados: Isso geralmente é preferido para armazenamento e análise a longo prazo. As opções populares incluem MySQL, PostgreSQL e Elasticsearch. Você precisaria especificar os detalhes da conexão do banco de dados (host, porta, nome de usuário, senha, nome do banco de dados) na configuração `unified2`.
*
um arquivo: Mais simples de configurar, mas menos escalável para grandes implantações. Isso envolve a especificação de um caminho de arquivo em que o Snort gravará os dados de alerta. O formato do arquivo geralmente é personalizável (por exemplo, texto, CSV). Os mecanismos de rotação e arquivamento são importantes para gerenciar o espaço em disco.
*
um servidor syslog: Isso envia alertas para um servidor syslog central para agregação e análise. Você precisa do endereço IP e da porta do servidor syslog.
*
Um sistema dedicado SIEM (Informações de Segurança e Gerenciamento de Eventos): Os SIEMs são projetados para coletar, analisar e gerenciar logs de segurança de várias fontes, incluindo o Snort. Você configuraria o plug -in `Unified2` para encaminhar alertas para o receptor designado do seu SIEM.
*
Outros plugins: O SNORT suporta outros plugins de saída, dependendo da versão e da instalação. Isso pode incluir plugins específicos para bancos de dados ou sistemas específicos. Consulte a documentação do Snort para obter uma lista completa de plugins disponíveis.
Exemplo de snippet de configuração (para um arquivo): Este é um exemplo simplificado. Uma configuração completa dependerá da sua versão e configuração do seu snort.
`` `
Unified2:Output Unified2 FileName:/var/log/snort/alerts.log
`` `
Exemplo de snippet de configuração (para um banco de dados - MySQL): Este também é um exemplo simplificado e requer configuração e permissões de banco de dados apropriadas. Substitua os espaços reservados pelos seus valores reais.
`` `
unificado2:saída unified2 mysql dbname =snort_alerts user =snort_user senha =mySecurePassword host =127.0.0.1 porta =3306
`` `
Em resumo, o núcleo de armazenar dados de alerta do Snort está selecionando e configurando o plug -in de saída apropriado e especificando o local de destino (banco de dados, arquivo, servidor syslog, SIEM etc.) para esse plug -in. Configurar adequadamente esses plugins é crucial para o monitoramento de segurança eficaz e a resposta a incidentes.
