Sguil
Sguil — набор бесплатных программных компонентов для мониторинга сетевой безопасности (NSM)[1] и событийного анализа оповещений систем обнаружения вторжений (IDS).[2][3]
Общие сведения
| Sguil | |
|---|---|
| Тип | мониторинг сетевой безопасности |
| Авторы | Bamm Visscher, Steve Halligan |
| Написана на | Tcl/Tk |
| Интерфейс | Tk |
| Операционная система | кроссплатформенная |
| Последняя версия | 0.9.0 (4 апреля 2014) |
| Лицензия | GPLv3 |
| Сайт | sguil.sourceforge.net |
Функционал
Клиент Sguil написан на Tcl/Tk и может запускаться на любой операционной системе, которая поддерживает эти технологии. Sguil интегрирует данные оповещений от Snort, сессионные данные от SANCP и полные содержимые пакетов от второй инстанции Snort, работающей в режиме пакетного логирования.
Sguil реализует систему мониторинга сетевой безопасности. NSM определяется как «сбор, анализ и эскалация признаков и предупреждений для обнаружения и реагирования на вторжения».
Sguil распространяется по лицензии GPL 3.0.
Инструменты, входящие в состав Sguil
| Инструмент | Назначение |
|---|---|
| MySQL 4.x или 5.x | Хранение и извлечение данных |
| Snort 2.x / Suricata | Оповещения IDS, обнаружение сканирования, логирование пакетов |
| Barnyard / Barnyard2 | Декодирует оповещения IDS и передаёт их в sguil |
| SANCP | Записи TCP/IP-сессий |
| Tcpflow | Извлечение дампа TCP-сессии в ASCII |
| p0f | Определение операционной системы |
| tcpdump | Извлечение отдельных сессий из логов пакетов |
| Wireshark | Анализатор пакетов (ранее назывался Ethereal) |
Примечания
Ссылки
- https://sguil.sourceforge.net Sguil — домашняя страница