Entender os logs do SNORT

[Julio Lopez]

Olá pessoal,   Instalei o SNORT em minha rede e gostaria de entender melhor os registros gerados no LOG: Alguém mais experiente poderia me explicar (ou indicar algum tutorial) sobre como fazer uma análise eficiente dos logs do SNORT, e entender aquelas informações para concluir se foi invadido ou não?   Por exemplos, o que significam na prática as informações abaixo, obtidas do meu LOG hoje:     Events between  01 12 07:37:18  and  01 13 05:09:43 Total events: 645 Signatures recorded: 10 Source IP recorded: 37 Destination IP recorded: 37 Portscan recorded: 6   Events from same host to same destination using same method =========================================================================  # of  from             to               method =========================================================================   127  10.0.0.139       200.185.40.69    (http_inspect) OVERSIZE REQUEST-URI DIRECTORY   110  200.152.199.183  155.102.177.84   ICMP Destination Unreachable (Port Unreachable)    78  10.0.0.139       64.4.18.250      (http_inspect) DOUBLE DECODING ATTACK    48  10.0.0.139       64.4.34.250      (http_inspect) DOUBLE DECODING ATTACK    26  10.0.0.139       64.4.22.250      (http_inspect) DOUBLE DECODING ATTACK    22  10.0.0.139       65.54.187.250    (http_inspect) DOUBLE DECODING ATTACK    17  10.0.0.139       216.109.124.107  (http_inspect) DOUBLE DECODING ATTACK    17  10.0.0.139       64.233.171.85    (http_inspect) OVERSIZE REQUEST-URI DIRECTORY    17  10.0.0.139       65.54.184.250    (http_inspect) DOUBLE DECODING ATTACK    15  200.176.255.22   155.102.177.84   ICMP Destination Unreachable (Communication Administratively Prohibited) Portscans performed to/from HOME_NET ===================================  # of  from ===================================     4  200.113.32.226     Desde já agradeço pela ajuda,   Julio