Après avoir installé Snort et ACID, j'aimerai savoir comment exploiter l'ensemble convenablement.
J'ai installé snort et acid sans problème, je vois plein d'alertes dans ACID, mais je ne sais pas quoi en faire ! J'ai vu que je pouvais les effacer, les archiver, les mettre dans des "alerts groups" etc.
Plusieurs questions :
- Est-ce que quelqu'un connait un tuto qui explique comment utiliser ACID ?
- A quoi servent les alerts groups ? Je ne comprend pas l'intéret que ça a.
- Comment faire pour ne pas voir des tonnes de log quand Snort détecte des faux positifs ? (genre si tu vois ça tu fais rien)
- Est-ce que quelqu'un a réussi à avoir quelquechose dans "portscan traffic" ? J'ai beau agresser tout mon réseau à coup de nmap je ne vois rien
Merci d'avance pour vos réponses et votre aide.
