Szukając alternatywy dla SNORT + BASE natrafiłem na SNORBY. Snorby to tak samo jak Base frontend dla Snorta, z tym, że napisany w rubym i jest po prostu ładny. Wszystko się kręci, przyciemnia, przelatuje z jedno w drugie, dodatkowo ma kilka fajnych funkcji jak generowanie raportów pdf czy wysyłanie powiadomień mailem.
Co mnie szczególnie zaskoczyło to instalacja, faktycznie (przynajmniej na NetBSD) przebiegła tak jak jest pokazana w kilku krokach na stronie Snorbyego. Klonujemy najnowszą wersję przy pomocy gita, edytujemy podstawowe informacje i dostęp do bazy MySQL, uruchamiamy server na porcie 3000 – gotowe :)
Oczywiście trzeba dosintalować bardzo dużo składników samego rubiego (to się chyba naywa „gems” ? – nigdy nie miałem do czynienia z rubym :), część znajduje się w pkgsrc, część ruby sam doinstaluje przez wydanie komendy „bundle install”. w katalogu ze snorbym.
Jedyna rzecz, którą musiałem poprawić ręcznie to zrobić dowiązanie z /usr/pkg/bin/ruby193 do /usr/pkg/bin/ruby ponieważ bez tego snorby mówił że nie wie gdzie jest ruby i nie mógł odpalić „workera”, który co jakiś czas zbiera informację z bazy i aktualizuje dashboard.
Co do snorta, to konfiguracja łącząca go ze snorbym jest banalnie prosta. Trzeba tylko dodać w konfigu, aby oprócz zapisywania do pliku lub bazy danych, zapisywał też do bazy snorbiego :) To wszystko.
Po chwili w zależności jakie reguły mamy zainstalowane i co snort nałapie, wszystko powinno być ładnie odwzorowane w snorbym, gdzie już można wygodnie sobie przegladać raporty, zerkać do środka ramek, sprawdzać czy jakiś host nie za bardzo nam bruździ itp.
Porównując czystą instalację snorta i logowanie do plików a wizualizację przy pomocy Snorbiego właściwie nie ma co porównywać :)
