- 博客(3)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Arkime与Suricata联动配置与使用
0x00 前言Arkime/moloch 全包捕获工具,对于安全来讲最大的优势就是威胁溯源,与suricata结合最好的好处就是,可以定点捕获与告警对应的pcap包,单纯从学习Suricata检测的角度来看,非常有用,你可以拿着pcap包分析触发的suricata规则,当然如果从告警运营的角度就是确认威胁是否存在的最好原始凭证。注意本系列文章均为CentOS 7 环境,使用的组件均为当前最新版本0x01 Suricata配置1. yum安装安装最新的Suricata版本,截止到目前为6.0.3#
2021-10-22 17:37:56
3231
原创 Arkime3(moloch)安装与配置
00x0 前言安装服务器环境是CentOS 7,安装当前最新的版本arkime-3.1.100x1 安装1. 下载rpm包# wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-3.1.1-1.x86_64.rpm2. 安装依赖# yum -y install perl-libwww-perl perl-JSON libyaml-devel perl-LWP-Protocol-https3. 安装rpm包#
2021-10-21 21:00:50
9226
10
原创 Wazuh关联分析规则高级玩法
# 前言上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh的规则玩法,之前就提到过Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展!本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。## 规则类型### 根规则与派生规则(Parent/Child)
2021-10-21 10:00:52
1809
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人