[FUG-BR] [OFF-TOPIC] Suricata x Snort - o que muda?

[Welkson Renny de Medeiros]

Em 2 de janeiro de 2013 12:05, Welkson Renny de Medeiros
<welkson em gmail.com>escreveu:

> Senhores, bom dia!
>
> Estou a alguns dias implantando um novo servidor (FreeBSD 9.1 amd64 sob
> ESXi 5.1), e cheguei na parte de segurança.
>
> No servidor antigo eu tinha Snort + OSSEC (com Active Response) + Base...
> as versões eram bem antigas... decidi então nesse novo servidor (com BSD
> 9.1) usar as mais atuais...
>
> A primeira bronca foi logo com o Snort, que nessa versão não mais permite
> fazer output em banco de dados [1]... instalei o tal do "Barnyard2", mas
> ainda não consegui gerar os logs do Snort no padrão que o Barnyard entende
> (Unified2)... quando ativo qualquer tipo de "output", os logs deixam de ser
> gerados... com todos os outputs comentados, pelo menos o
> /var/log/snort/alert funfa direitinho (mas o Barnyard não interpreta isso).
>
> A algum tempo vi o Patrick comentando sobre o Suricata, que me parece ser
> um "fork" do Snort. Alguém tem usado? output database funfa direitinho?
> compatível com as "rules" do Snort?
>
> [1] http://blog.snort.org/2012/07/database-output-is-dead-rip.html
>
> Feliz 2013 a todos! =)
>
> Welkson Renny
> Natal/RN
>



Fazendo mais buscas encontrei algumas respostas.

De acordo com o link abaixo, Emerging Threats não funciona no Snort (eu uso
essas rules) - SO rules não conhecia:
http://www.aldeid.com/wiki/Suricata-vs-snort#Rules
http://www.aldeid.com/wiki/EN:Snort/Rules/SO_Rules

Não vi "database" na lista de Outputs:
http://suricata-ids.org/features/all-features/

Qualquer comentário sobre Snort x Suricata será bem vindo.

Welkson Renny
Natal/RN