如何将Snort等传感器连接到AlienVault SIEM？

Question

我想连接一些传感器，如Snort和OSSEC到AlienVault暹粒。我怎么能这么做？！是否可以通过syslog发送日志？

Answer 1

对于OSSEC，您可以为每个将向安装在OSSIM服务器中的OSSEC服务器报告的代理生成新的密钥(请检查分析/检测-检测- HIDS)

对于Snort，最简单和推荐的方法是安装OSSIM传感器配置文件，该配置文件随Snort一起提供，并使用命令alienvault-update为您提供新规则。

但是，如果您对此不感兴趣，因为Snort安装工作正常，可以使用rsyslog将unified2日志发送到OSSIM服务器，并签入目录var指向正确位置的snort.cfg。

此问题已在用户手册：http://communities.alienvault.com/community/technical-documentation中解释。

Answer 2

我意识到，这已经有一个公认的答案，但这是一个如何设置这一快速总结。

snort.conf

output alert_syslog: LOG_DAEMON LOG_ALERT

rsyslog.conf

daemon.*  @alienvault-server

ossim_setup.conf

detectors=...,snort_syslog,...

snort_syslog.cfg

location=/var/log/daemon.log