Sitio para la difusión de conocimiento informático. 

Twitter RSS

Integrando Cisco Sourcefire Defence Center a Prelude SIEM

Integrando Cisco Sourcefire Defence Center a Prelude SIEM

En esta publicación veremos como en unos simples pasos podemos intergar la reciente solución de detección de intrusos adquirida por Cisco basada en Snort: Sourcefire. Para esto enviaremos los eventos desde la consola Defence Center de Sourcefire mediante Syslog a la consola Prelude donde tenemos instalado el SIM de Prelude: Prelude-lml. Este proceso lee archivos syslog según un formato definido en el archivo de configuración prelude-lml.conf, para así obtener la fecha y hora, nombre del dispositivo que reportó el evento, o número de proceso, etc.
Una vez que procesa los mensajes que llegan al syslog, busca una coincidencia mediante una expresión regular definida en el archivo ruleset/pcre.rules. Encontrada una coincidencia, el mensaje será analizado contra expresiones regulares definidas para este tipo de mensajes syslog, y así dar forma a una alerta que será procesada por Prelude-Manager.

Continue Reading

 
Home Cisco Archive for category "Sourcefire"