Netzwerk-Überwachung mit Snort

Einschränkungen

Im Prinzip könnte man den IDS Policy Manager also dazu benutzen, um eine zentrale Policy für alle Sensoren zu erstellen und zu verwalten. In der Praxis scheitert das allerdings daran, dass - wie schon beschrieben - Snort für Windows und Snort für Linux verschiedene Pfadangaben nutzen.

Leider bietet das Programm keine Möglichkeit, diese Tatsache automatisch zu berücksichtigen. Ein weiteres Problem besteht darin, dass bestimmte Einstellungen wie etwa der Parameter sensor_name für die Log-Ausgabe in eine Datenbank je nach Sensor vergeben werden müssten. Diese Möglichkeit bietet IDS Policy Manager jedoch derzeit nicht.

Dementsprechend bleibt in einer gemischten Umgebung nur eine Möglichkeit: Legen Sie im IDSPM zunächst zwei Profile an: eines für Linux und eines für Windows. Dazu wechseln Sie bei Windows können Sie gleich auf die lokale Snort-Installation verweisen.