Seguridad Cebolla + (ELSA o Snorby) + CapMe = impresionante

¡Feliz Año Nuevo a todos, y con un nuevo software de código abierto, lo que es un año que será.

Lunes Doug Burks liberado Seguridad Cebolla 12.04. Por favor, lea el post de Doug aprender cuán grande es esta nueva versión de 64 bits. Quería resaltar algunas características de la nueva versión que tiene la supervisión de seguridad de red con herramientas de código abierto a un nuevo nivel para los analistas de seguridad.

12.04 se incluye con Enterprise Log de Martin Holste y Buscar Archivo (ELSA) que trabajan fuera de la caja. Gracias a la estrecha integración con la última versión de Bro, los analistas tienen, acceso indexado basado en Web a los registros de Bro.

Si eso no fuera suficiente, 12,04 también se suministra con una adición tardía – CapMe de Paul Halliday. Lo que esto significa es que ahora se puede acceder a las transcripciones TCP completos desde cualquier alerta en Snorby de Dustin Webber o ELSA de Martin.

Es posible que no apreciar que de inmediato, pero es un paso en la dirección correcta. Hasta el momento, Sguil de Bamm Visscher ha sido el instrumento de referencia NSM de código abierto de facto, lo que permite a los analistas a girar fácilmente de alerta o los datos de sesión a los datos completos pcap. Ahora, con ELSA + CapMe, los analistas pueden pivotar desde cualquier entrada de registro de tráfico TCP con marcas de hora, las direcciones IP, los protocolos y los puertos a una representación basada en la Web de una transcripción.

Esto es clave: esta transcripción no se ha guardado debido al registro o la alerta Se salvó simplemente porque el tráfico se vio en el cable y netsniff-ng grabó.. Esta es una manera de manejar mejor las amenazas que saben cómo evadir los sistemas basados ​​en firmas.

Este nuevo flujo de trabajo / característica es lo que elegí para representar en la captura de pantalla de la izquierda. La ventana superior muestra ELSA con una consulta para un registro BRO_HTTP para www.testmyids.com. Entonces invoco CapMe y generar la transcripción en la ventana en la parte inferior. Usted puede hacer lo mismo a partir de los datos de alerta en Snorby.

Este es sólo el primer paso para dar más datos de los analistas a través de software de código abierto. Un gran equipo de Cebolla Seguridad trabajo!

Tweet

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *