snort在警报文件中添加更多数据

Question

我想要添加更多的数据来警告文件。现在，我们的分析团队所看到的数据非常少，而且我们没有给我们的snort后端服务器访问它们的权限。

我们的设计就像centos /var/log/snort/警报映射到kibana，如果他们想看到更多关于攻击的数据，如何提供它们？我想，为什么不在警报文件中添加数据包有效负载细节，或者添加一些额外的数据来提醒分析师，以便分析师能够理解和阻止IP呢？

Answer 1

将外部和第三方数据添加到警报文件并不是正确的方法。您需要一个工具来摄取警报文件，并将其他数据与警报文件中的数据关联起来。这一过程被称为“数据丰富”。

如果开始自动编辑主数据存储区(警报文件)，则可能会损坏数据。您希望这些数据保持完整，并在另一个环境中丰富它。