美文网首页
suricata 配置3(Global-Thresholds)

suricata 配置3(Global-Thresholds)

作者: lx_jian | 来源:发表于2019-04-30 17:29 被阅读0次

续接上文suricata 配置2(suricata.yaml)

https://www.jianshu.com/p/0742799453a8

2. 全局阈值 (Global-Thresholds)

可以在规则本身中配置阈值,请参阅阈值关键字。它们通常由规则编写者根据其创建规则的智能设置,并结合对规则警报频率的判断。

2.1 Threshold Config (阈值配置)

接下来,可以使用threshold.config在传感器上配置更多的阈值。

(2.1.1)threshold/event_filter

语法

图75

(2.1.2)rate_filter

rate_filter允许在规则匹配时更改规则操作

语法

图76

示例2.1.2 

rate_filter  gen_id 1, sig_id 1000, trackby_rule, count  100, seconds 60, new_action alert, timeout  30

(2.1.2.1)gen_id

引擎ID。通常为1,但如果规则使用gid关键字设置另一个值,则必须在其中进行匹配gen_id

(2.1.2.2)sig_id

规则/签名ID由规则sid关键字设置。

(2.1.2.3)track

跟踪规则匹配的位置。使用by_src / by_dst时,每个IP地址都会进行跟踪。Host表用于存储。当使用by_rule时,它会在全局范围内完成规则。选项by_both用于跟踪每对IP源和目标。在相同地址之间转向相反方向的数据包跟踪为同一对。

(21.2.4)count

rate_filter被激活之前的规则命中次数。

(2.1.2.5)seconds

激活rate_filter需要达到count 的时间段

(2.1.2.6)new_action

当rate_filter就绪时,用于匹配流量的新操作。

值:

<alert | drop | pass | reject >

注意:解析器支持'sdrop'和'log',但不实现

(2.1.2.7)timeout

rate_filter保持活动的时间(以秒为单位)。

(2.1.2.8)Example

假设我们希望限制到SSH服务器的传入连接。下面的规则888只是在SYN包上向SSH服务器的SSH端口发出警报。如果ip地址在一分钟内触发超过10个或更多,则设置drop rate_filter的超时时间为5分钟。

规则:

alert tcp any any -> $MY_SSH_SERVER 22 (msg:"Connection to SSH server"; \  flow:to_server; flags:S,12; sid:888;)

速率过滤器:

rate_filtergen_id1,sig_id888,trackby_src,count10,seconds60,\new_actiondrop,timeout300

(2.1.3)suppress(禁止)

可以使用suppress来禁止规则或主机/网络的警报。当规则匹配时执行的操作,例如设置一个flowbit,仍然会执行。

语法:

图77

示例:

图78

这将确保签名/规则2002087永远不会匹配 src 主机209.132.180.67。

其他可能性/例子

图79

在上面的最后一个示例中,by_either跟踪,意味着如果source ip或destination ip两个之一会匹配217.110.97.128/25这个规则。那么这个sid 2003614 会被抑制。

(2.2)全局阈值与规则阈值

注意:本节适用于1.4+ In 1.3和混合规则和全局阈值之前不支持。

当规则具有阈值/ detection_filter设置时,规则仍然可以受全局阈值文件的影响。

如果在60秒内从主机发送/发送10封或更多封电子邮件,则以下规则才会触发

图80

接下来,我们将看到全局设置如何影响此规则。

(2.2.1)Suppress

抑制可以与具有阈值/ detection_filters的规则组合,没有例外。

图81

上述每条规则都将确保2002087在电子邮件来源为209.132.180.67时不会发出警报。它提醒所有其他主机。

suppress  gen_id  1, sig_id2002087

这种抑制只会将规则转换为“noalert”,这意味着它在任何情况下都不会发出警报。如果规则设置了flowbit,那么仍然会发生。

(2.2.2) Threshold/event_filter

应用于特定签名时,阈值和event_filters(从现在开始的阈值)将覆盖签名设置。当签名中的默认值不适合您的环境时,这可能很有用。

图82

其中每个都将用新的阈值设置替换2002087的阈值设置。

注意:不支持覆盖所有gid或sid(使用gen_id 0或sig_id 0)。错误https://redmine.openinfosecfoundation.org/issues/425

(2.2.3)Rate_filter

请参阅https://redmine.openinfosecfoundation.org/issues/425

相关文章

网友评论

      本文标题:suricata 配置3(Global-Thresholds)

      本文链接:https://www.haomeiwen.com/subject/nogvnqtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|suricata 配置3(Global-Thresholds)|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!