本文介紹sFlow格式協定,並以簡單的例子示範如何結合sFlow與Snort自動解析(Parser)所有的流量,以自動化的方式揪出可疑的IP來源,並且找出可能是惡意的攻擊或是病毒及蠕蟲的資訊。本文的另一個重點是Snorby,善用Snorby,可以降低管理者在處理Snort log檔時的負擔,管理者亦可借助Snorby強大的事件分類及報表功能,找出可疑的資安事件,甚至提前發現惡意攻擊的軌跡。
Snorby是Snort的圖形化前台程式,它把Snort的log檔以圖形化的介面展現出來,減少使用者在使用和管理時的負擔,但是其安裝過程較為困難繁瑣,因此特別詳細解說Snorby安裝設定教學,協助讀者達到節省人力並輕鬆做好網路管理的目標。
以Snorby作為前台
結合sFlow與Snort建置自動化檢查及告警系統(上)
之前曾經介紹過如何運用Netflow來找出網路裡的嫌疑犯,但對於忙碌的網管人而言,要一筆一筆去檢查使用者是否有異常行為,不僅浪費人力,更會犧牲寶貴的時間。其實,結合sFlow與Snort來自動抓出惡意的網路行為,就可以讓這些檢查動作自動化。
設定及使用Snorby
結合sFlow與Snort建置自動化檢查及告警系統(下)
上一篇文章中介紹在高速網路的環境下如何使用Open vSwitch產生sFlow流量,並透過Snort完成自動檢查流量機制,藉以找出可疑的流量。本期文章將繼續介紹如何安裝、設定及使用強大的Snort前台程式「Snorby」,以達到人性化管理的目的。