<p dir="ltr">Hey Doug,  yes I have, security onion is a powerful tool and will most likely use it for my bro implementation as a stand alone sensor. However it has some limitations and we require a central database partitioned away from the vm etc so seconion at this stage is in the mix hut won't be used in anger </p>
<div class="gmail_quote">On 4/12/2014 1:22 AM, "Doug Burks" <<a href="mailto:doug.burks@...11827...">doug.burks@...11827...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Matheus,<div><br></div><div>Have you considered Security Onion?  It includes Snort, Snorby, PF_RING, Bro, full packet capture, and many other tools.  </div><div><br></div><div><a href="http://securityonion.net" target="_blank">http://securityonion.net</a></div><div><br></div><div><br><div><br>On Wednesday, December 3, 2014, Matheus Condi'ez <<a href="mailto:conma293@...11827..." target="_blank">conma293@...11827...</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Excellent, Yeh I had actually thought it wouldn't be too strenuous to go and interrogate the individual sensors rather than rely on snorby as timings may wander anyways.<br></p>
<p dir="ltr">Ah good I very much intended to put bro in there as well, in a separate vm. What is n top? <br></p>
<p dir="ltr">The reason I like vms is so I can do hot swaps of new snort images, differentiate images between sensor points etc and roll back if something goes wrong (which it does)<br></p>
<p dir="ltr">But it sounds like you could give me some pointers :-)</p>
<p dir="ltr">Also Having said that jeremy if we had only 4-6 sensors that should be not timeout? <br>
How did you get snorby to differentiate, there seems to be only one field for a single ip?<br></p>
<div class="gmail_quote">On 3/12/2014 7:06 PM, "Jeremy Hoel" <<a>jthoel@...11827...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">At my last job we ran OpenFPC (deamon logger) and snort on top of pf_ring along with bro and ntop..  all in the same user space.  Why run snort in a VM?<div><br></div><div>We didn't use snorby to pull the packets, we used the openfpc-client directly with the sensor information.  The way snorby did it, if the sensor was to far down in the list (we had 50+) it would time out, so it was easier to query the target sensor individually rather then all of them.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 2, 2014 at 8:52 PM, Matheus Condi'ez <span dir="ltr"><<a>conma293@...5119...827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">In short, after many builds of snort sensors I am about to start off on a new journey of discovery which will potentially send me mad.<div><br></div><div>My goal is to create a sensor(s) which runs OpenFPC on PF_Ring native, with snort sitting on top as a guest vm.</div><div><br></div><div>Has anyone had any experience with PF_Ring and snort, or PF_Ring and snort?</div><div><br></div><div>Am aware that I will have to patch PF_Ring onto both the host and the guest OS's for this to work.</div><div><br></div><div>Am also aware that most likely will have to build and configure OpenFPC and/or Snort as PF_Ring aware?</div><div><br></div><div>If I do this but then attempt to run a version of Snort and/or OpenFPC that is not configured to handle PF_Ring, will it take it?</div><div><br></div><div><br></div><div><br></div><div>Finally - I want to send all this information to a centralised Snorby GUI, so another question is, how do I get Snorby to differentiate between different sensor IP's to grab the pcaps from the difference OpenFPC instances?</div><div><br></div><div>im sure someone has been overly ambitious and has attempted some, if not all of this before..</div><div><br></div><div>any guidance would be muchly appreciated.</div><div><br></div><div>-conma</div></div>
<br>------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=164703151&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a>Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>
</blockquote></div>
</blockquote></div></div><br><br>-- <br>Doug Burks<br>Need Security Onion Training or Commercial Support?<br><a href="http://securityonionsolutions.com" target="_blank">http://securityonionsolutions.com</a><br>Last day to register for 3-Day Training Class in Augusta GA is 12/11!<br>
</blockquote></div>