上一篇文章中介紹在高速網路的環境下如何使用Open vSwitch產生sFlow流量,並透過Snort完成自動檢查流量機制,藉以找出可疑的流量。本期文章將繼續介紹如何安裝、設定及使用強大的Snort前台程式「Snorby」,以達到人性化管理的目的。
若直接選擇Export To PDF,將會以先前選擇的時段輸出PDF檔;若選擇Last Week或Last Month,就須要再選擇一次Export To PDF,Snorby才會輸出所需的PDF檔。
在此PDF檔中,會有Sensors、Severities、Protocols、Top 15 Signatures、Top 10 Source Addresses、Top 10 Destination Addresses等頁面。圖11所展示的是PDF檔中Protocols的頁面。
 |
| ▲圖11 報表檔中的Protocols頁面。 |
結語
本文示範了如何安裝、設定及操作Snorby。Snorby是一套強大而便利的Snort前台程式,善用Snorby,可以降低管理者在處理Snort log檔時的負擔。管理者亦可借助Snorby強大的事件分類及報表功能找出可疑的資安事件,甚至提前發現惡意攻擊的軌跡。
本文僅對Snort和Snorby做簡單的介紹,若讀者在日常營運上有需求,不妨多花一些心力去研究。希望Snort和Snorby的結合能夠協助網管人準確找到資安事件的發生原因及後續解決方法,從而達到料敵機先,進而從容應對的境界。