我能够向远程系统日志服务器发送 Snort 警报,但我无法看到完整的警报消息;我只看到标题、源和目标 IP 等基本信息。我特别感兴趣的是接收 XREF(CVE、bugtraq 等)字段。
我正在启动 syslog 作为-
snort -c /etc/snort/snort.conf
有谁能做到这一点?
答案1
您可能看到了您实际能看到的一切。Snort 的运行方式与防病毒应用程序非常相似。您为其提供指示恶意行为的签名列表(规则文件),并且每当 Snort 看到与所述签名匹配的流量模式时,它就会发出警报。您收到的每个警报的信息由规则作者配置。例如,让我们看看以下警报
[1:2013497:2] ET TROJAN MS Terminal Server User A Login, possible Morto inbound [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.15.253.22:3254 -> 192.168.100.15:3389
好的,所以我们知道
- 标识网络连接的 4 元组 (10.15.253.22:3254 -> 192.168.100.15:3389)
- 解释此警报含义的描述(有关 Morto 的部分)
- 和规则 ID(2013497)
现在,让我们看看触发此情况的实际规则。
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"ET TROJAN MS Terminal Server User A Login, possible Morto inbound"; flow:to_server,established; content:"|03 00 00|"; depth:3; content:"|e0 00 00 00 00 00|"; offset:5; depth:6; content:"Cookie|3a| mstshash=a|0d 0a|"; nocase; reference:cve,CAN-2001-0540; classtype:protocol-command-decode; sid:2013497; rev:2;)
我们可以看到,我们收到警报的描述性文本位于信息字段。这实际上只是一个自由文本字段,规则作者使用它来让我们知道发生了什么。当系统记录警报时,Snort 应用程序仅有的记录此信息。也就是说,你不会得到任何其他信息。现在,我思考您所查找的是参考号 CAN-2001-0540。
您需要查看一些与 Snort 一起运行的附加程序。其中许多程序已经存在多年。我立即想到的两个项目是斯诺比和根据. 设置其中之一将要增加了环境的复杂性,但它可能是值得的。