Snort vs. Suricata
Version vom 27. September 2022, 17:33 Uhr von Thomas.will (Diskussion | Beiträge) (→Multithreading)
Open source IDS: Snort or Suricata?
Allgemein
- Snort hat eine beträchtliche Community-Unterstützung und verfügt daher über ein breites Regelwerk, das häufig aktualisiert wird.
- Es unterstützt benutzerdefinierte Regeln und obwohl beide Optionen Open Source sind, hat Snort weniger ein „Paywall-Gefühl“.
- Suricata kann dieselben Regeln anwenden wie Snort.
- Es veröffentlicht auch Regelsätze, jedoch auf Abonnementbasis vor Ablauf von 30 Tagen.
- Suricata verfügt über zusätzliche Funktionen, die einen besser konfigurierbaren Regelsatz ermöglichen.
Erkennung
- Suricata unterstützt direkt die Erkennung auf Anwendungsebene, während Snort eine zusätzliche Ebene – OpenAppID – benötigt, um Anwendungen zu erkennen.
Dateiextraktion
- Suricata unterstützt die Dateiextraktion, während Snort dies nicht tut.
- Dies ist besonders nützlich, wenn Sie Dateien für eine spätere Analyse in einem Ordner aufbewahren müssen.
Multithreading
- Einer der Hauptvorteile von Suricata ist, dass es viel jünger als Snort entwickelt wurde.
- Das bedeutet, dass es viele weitere Funktionen an Bord hat, die heutzutage praktisch nicht mehr zu übersehen sind.
- Eine dieser Funktionen ist die Unterstützung für Multithreading.
- Ab der Version 3 wurde Snort von Grundauf neu entwickelt und unterstützt nun auch Multithreading
Links
- https://resources.infosecinstitute.com/open-source-ids-snort-suricata/
- https://tacticalflex.zendesk.com/hc/en-us/articles/360010678893-Snort-vs-Suricata