Snort-web介面 Aanval-SAS-v7

Aanval是一套SIEM(Security Information and Event Management)"安全資訊與事件管理平台"，支援IDS警報管理與LOG管理。

從單一傳感器到大規模的全球性佈署，提供免費的單一傳感器版本及全球性佈署的商業版。

SIEM的主要功能:

以SANS(A Practical Application of SIM/SEM/SIEM Automating Threat Identification)這篇報告敘述，分成下列4項：

1. log整併：將事件記錄集中存放到伺服器上。
2. 將威脅做關聯性連結：將多份記錄內容將以分類，辨識發動攻擊的行為。
3. 突發事件管理（工作流程）：一旦威脅發生，隨後該進行一些工作來因應，例如透過電子郵件或簡訊通知管理者、建立故障服務單（Trouble Ticket）、自動執行Script以回應狀況，以及記錄後續反應與調整的狀態。
4. 產生報表：基於作業效率、工作績效、法規遵循等需求，你需要可自行隨意地分析或查詢相關的記錄，或執行證據鑑識的工作。

我是用免費版跟snort搭配來看看，介面大致上是這樣： 

安裝

相依套件，mysql apache2 php5是必備的

zlib1g-dev libmysqld-dev byacc libxml2-dev zlib1g php5 php5-mysql php5-gd libssl-dev libcrypt-ssleay-perl libphp-adodb php-pear

mkdir /var/www/aanval

cd /var/www/aanval

wget https://www.aanval.com/download/pickup -O aanval-7-latest-stable.tar.gz --no-check-certificate

tar -xzvf aanval-7-latest-stable.tar.gz

BPUs配置

cd /var/www/aanval/apps

perl idsBackground.pl -start

SMTs配置

cp contrib/smt/*  smt
cd /smt
vi conf.php 

   $id = "12345678901"; 

   $consoleHost = "localhost";
   $consoleHostPath = "/";

直接從瀏覽器進入設定  x.x.x.x/aanval
********************************************************
"create database aanvaldb;"
Database Server{IP or hostname of your database server}          //資料庫ip地址
Database Nameaanvaldb                                                             //資料庫名稱
Database Usernameroot                                                                //資料庫帳號
Database Password<blank>                                                           //資料庫密碼

*********************************************************

資料庫對應的部份要設定

SMT部份：先將右手邊有網卡編號的項目選擇，左手邊打入傳感器的名稱例snort 與SMT ID，就剛剛設的12345678901，update,時區也要對應一下。

時區對應一下，右邊選擇，update，最下方的對應帳號要打勾

vi /etc/rc.local                        //寫入開機，自動啟動

cd /var/www/aanval/apps

perl idsBackground.pl -start
*******************************************************
設置教學影片