当警报发生时,弄清楚它意味着什么是很重要的。这是严重的吗?有重大作用的?误报的?
要了解有关触发规则的更多信息,查看实际规则始终是个好主意。
在规则中要注意的第一件事是“msg”关键字后面的描述。先看一个例子:
msg:"ET SCAN sipscan probe";
“ET”表示该规则来自Emerging Threats项目。“SCAN”表示规则的目的是匹配某种形式的扫描。之后,给出了或多或少的详细描述。
大多数规则都包含一些指向“reference”关键字形式的更多信息的指针。如以下规则:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS Adobe 0day Shovelware"; flow:established,to_server; content:"GET "; nocase; depth:4; content:!"|0d 0a|Referer\:"; nocase; uricontent:"/ppp/listdir.php?dir="; pcre:"/\/[a-z]{2}\/[a-z]{4}01\/ppp\/listdir\.php\?dir=/U"; classtype:trojan-activity; reference:url,isc.sans.org/diary.html?storyid=7747; reference:url,doc.emergingthreats.net/2010496; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe; sid:2010496; rev:2;)
在此规则中,reference关键字表示要访问的3个URL以获取更多信息
isc.sans.org/diary.html?storyid=7747
doc.emergingthreats.net/2010496
www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe
有些规则包含如下参考:“reference:cve,2009-3958;”应该允许您使用自己喜欢的搜索引擎查找有关特定CVE的信息。
它并不总是直截了当,有时并非所有这些信息都是公开的。通常在签名支持渠道上询问它会有很大帮助。
在是使用Suricata-Update规则管理中,可以找到有关规则源及其文档和支持方法的更多信息。
在许多情况下,仅仅查看警报和触发它的数据包将不足以成为决定性因素。使用默认的Eve设置时,会向警报添加大量元数据。
例如,如果触发的规则指示您的Web应用程序受到攻击,则查看元数据可能会显示未找到404回复的Web应用程序。这通常意味着攻击失败。通常,并非总是如此。
并非每个协议都会导致元数据生成,因此在运行像Suricata这样的IDS引擎时,通常建议将其与完整的数据包捕获相结合。使用Evebox,Sguil或Snorby等工具,可以检查完整的TCP会话或UDP流。
网友评论