O Snort possui uma estrutura modular altamente personalizável, onde diversos plugins e programas acessórios podem ser usados para expandir suas funcionalidades, tais como a possibilidade de reagir a um alerta, a atualização automática das suas assinaturas e o gerenciamento de diversos sensores espalhados em uma ou mais redes.

Através da arquitetura modular do Snort, é possível a geração de alertas em arquivos texto, bases de dados, entre outros. Em conjunto com os alertas, é possível ainda o armazenamento dos pacotes que causaram um determinado alerta, o que é importante para se determinar se um alerta é legítimo, ou se é um falso-positivo.

Há programas auxiliares ao Snort, que geram alertas em formatos mais úteis para um administrador, tais como:

• BASE (Basic Analysis and Security Engine),
• Sguil (The Analyst Console for Network Security Monitoring) e
• OSSIM, considerado um SIEM (Security Information and Event Management ).

O OSSIM é um conjunto de ferramentas integradas, com um console gráfico completo. Muitas das ferramentas presentes no OSSIM foram ou serão apresentadas neste curso, como Snort, Nessus, Ntop e Nagios. O interessante do OSSIM é que ele é disponibilizado como uma imagem ISO, com todos os componentes instalados automaticamente, bastando apenas a sua inicialização através dessa ISO.