J'essaie de déployer une instance d'AlienVault et suis un peu confus quant au suivi du trafic. Je peux voir que je peux définir des stratégies et des alarmes en fonction de certains événements et que j'estime que je dois mettre en miroir mon port principal sur mon commutateur et l'acheminer dans mon capteur AlienVault. J'ai aussi le sans-fil et je ne sais pas trop comment cela fonctionnerait avec mon Draytek 2960 avec deux vlans entrant dans le point d'accès et ne pouvant pas mettre en miroir le balisage, je ne crois pas et aurait également besoin de 2 interfaces réseau, etc.

Je me demande si l'utilisation de Syslog à partir d'un routeur pour envoyer tous les journaux d'accès à mon AlienVault et transmettre cette information ne pourraient pas être utilisés pour suivre des informations similaires et déclencher mes alarmes et mes stratégies via ces derniers? Les entrées Syslog indiquent simplement que la source est routeur et que les données UserData1 et UserData2 se demandent comment

Nov 22 09:18:33 192.168.1.254 Vigor2960: Local User: (MAC=XX:XX:XX:XX:XX:XX)       XXX.XXX.1.70:54686 -> XX.XX.XX.XX:443 (TCP) 

Le format est similaire à celui ci-dessus, alors il vous faut juste de jolies expressions régulières. J'espère transformer cela en données dont j'ai besoin si possible.

Harri
la source