Analizando la seguridad de la red con snorby

Artículo creado por: Sheyla Leacock | Embajadora Dojo

Para: https://backtrackacademy.com/

Link: https://backtrackacademy.com/articulo/analizando-la-seguridad-de-la-red-con-snorby

 

Que es Snorby

Snorby es una aplicación web (front-end) basada en Ruby on Rails, que interactúa con un IDPS para monitorizar gráficamente la seguridad de la red. Se comunica con sistemas como Snort, Sagan, Suricata y cualquier otro que genere eventos de log en el formato binario Unified2.

Este front-end brinda un gran número de funcionalidades y características, como las que menciono a continuación:

  • Posee un tablero de reportes que muestra la cantidad de eventos registrados en un lapso de tiempo, permitiendo filtrar estos eventos por su grado de severidad, sensor donde se originan, protocolo empleado, reglas asociadas y el origen o destino del ataque.

  • Tiene una sección llamada pila a la que se pueden añadir eventos para darles un posterior seguimiento.

  • Permite administrar múltiples sensores IDPS para un monitoreo centralizado de la información.

  • Tiene una sección de eventos que muestra un listado con la información completa de las sesiones registradas, incluyendo IP de origen y de destino, fecha de registro y la cantidad de sesiones establecidas entre el origen y el destino, permitiendo, también, realizar una clasificación masiva de eventos de acuerdo con diferentes parámetros.

  • Realiza envío de reportes vía email

  • Cuenta con una fuente de búsqueda para conocer más información de las características de un evento registrado, como información de la regla o direcciones IP implicadas en el evento. Además, permite añadir fuentes de búsquedas externas que redireccionan rápidamente al sitio web con los parámetros especificados.

  • Brinda información de geolocalización de los eventos.

  • Genera representaciones de análisis y estadísticas mediante gráficos.

  • Realiza búsquedas avanzadas.

  • Transcribe el tráfico de la red mediante la captura completa de paquetes con OpenFPC.

  • Exporta información en formato XML, PDF, vía email y mediante la generación de un enlace de acceso permanente.

  • Permite que la administración de usuarios sea sencilla, con opciones para habilitar o deshabilitar usuarios y asignar o eliminar roles. Además de mostrar la cantidad de inicios de sesión del usuario, la hora y la dirección IP de su última conexión.

Brinda opciones de configuración de nombres de dominio para cada dirección IP, permitiendo añadir estos nombres mediante la carga de archivos de texto con formato CSV.