※ご注意
本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。
今回はSnortと連携して使えるツールについて取り上げていきたいと思う。Snortは単体でも十分「使える」ツールであるが、ほかのツールと組み合わせることにより、何倍も便利に使うことができる。
過去の連載で取り上げたものも含めているので、おさらいの意味で参照してほしい。なお、2005年3月6日時点での最新バージョンの情報やダウンロード用URLを記載する。
ACID
| ダウンロード | http://acidlab.sourceforge.net/ | |
| 最新バージョン | 0.9.6b23 | |
| 必要とするソフトウェア | PHP、ADODB、PHPlot/JPGraph、GD | |
| 動作する環境 | Windows、Linux、*BSD |
この連載でも取り上げたが、ACIDはSnortが出力したログを見やすい形にして表示するツールである。一覧として表示する以外に、グラフとして表示する機能や、検索条件を指定し特定のアラートだけを一覧化することも可能だ。
インストール自体はとても簡単で、tarballを入手し展開するだけでよい。Snort側の設定としては、アラートをデータベースに出力するようにしなければならないが、それ自体も容易に実現することができる(「第3回 ACIDのインストールと設定」を参照)。
BASE
| ダウンロード | http://secureideas.sourceforge.net/ | |
| 最新バージョン | 1.0.2 | |
| 必要とするソフトウェア | PHP、ADODB、PHPlot/JPGraph、GD | |
| 動作する環境 | Windows、Linux、*BSD |
BASEはACIDの後継といえるツールであり、ACIDのコードを引き継いで開発されている。ACIDを公開しているWebサイトをご覧になった方はお気付きのことと思うが、ACID自体の開発はしばらく前からストップしている。BASEの方は活発に開発が進んでいるため、特別な理由がない限りこちらを使う方がよいのかもしれない。
スクリーンショットを見る限り、操作性はACIDとほとんど変わらないようである。日本語版も存在しているため、英語が苦手な方でも容易に使うことができるだろう。
BIONS
| ダウンロード | http://bions.ryonkn.com/ | |
| 最新バージョン | 0.3a | |
| 必要とするソフトウェア | PHP、Pear DB、JPGraph、GD、PostgreSQL/MySQL | |
| 動作する環境 | Windows、Linux、*BSD |
第3回で少しだけ取り上げたが、BIONSはSnortが出力したログを1日〜1年単位でグラフ化するツールである。ACIDにも同様の機能は存在するが、ただグラフ化するだけであればBIONSの方が使いやすい。ACIDとセットで導入するとよいだろう。
BIONSもインストール自体は非常に簡単だ。tarballを入手・展開し、設定をすればすぐに使用することができる。
Oinkmaster
| ダウンロード | http://oinkmaster.sourceforge.net/ | |
| 最新バージョン | 1.1 | |
| 必要とするソフトウェア | Perl、Tar/Archive::Tar、gzip/IO::Zlib、wget、LWP::UserAgent | |
| 動作する環境 | Windows、Linux、*BSD |
OinkmasterはSnortのシグネチャファイルを自動的にアップデートするためのツールである。Snortのシグネチャファイルは比較的頻繁に更新されているので、手動でアップデートするのは不可能ではないにせよ、結構な作業量となってしまう。Oinkmasterを使うことで作業負荷を軽減できる。
インストール方法は簡単で、tarballを入手・展開し、設定をすればよい。
Index
ツールを使ってSnortをさらに便利に使う
Page1
ACID
BASE
BIONS
Oinkmaster
IDScenter
SnortSnarf
Pig Sentry
SnortALog
Copyright © ITmedia, Inc. All Rights Reserved.