arkime(moloch)实践
文章平均质量分 70
流量检测领域之全包捕获分析神器,可以和suricata做比较好的数据补充,便于定位威胁和溯源
orright
安全分析工程师,干过通信、网络、运维、监控,擅长SIEM相关技能,能够不花一分钱,帮大佬组建一个强大的安全运营平台,吹牛不用打草稿啦,加油
展开
-
Arkime与Suricata联动配置与使用
0x00 前言Arkime/moloch 全包捕获工具,对于安全来讲最大的优势就是威胁溯源,与suricata结合最好的好处就是,可以定点捕获与告警对应的pcap包,单纯从学习Suricata检测的角度来看,非常有用,你可以拿着pcap包分析触发的suricata规则,当然如果从告警运营的角度就是确认威胁是否存在的最好原始凭证。注意本系列文章均为CentOS 7 环境,使用的组件均为当前最新版本0x01 Suricata配置1. yum安装安装最新的Suricata版本,截止到目前为6.0.3#原创 2021-10-22 17:37:56 · 2861 阅读 · 0 评论 -
Arkime3(moloch)安装与配置
00x0 前言安装服务器环境是CentOS 7,安装当前最新的版本arkime-3.1.100x1 安装1. 下载rpm包# wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/arkime-3.1.1-1.x86_64.rpm2. 安装依赖# yum -y install perl-libwww-perl perl-JSON libyaml-devel perl-LWP-Protocol-https3. 安装rpm包#原创 2021-10-21 21:00:50 · 8685 阅读 · 10 评论