我是 OSSIM 的新手。
我的需求是使用 snort 检测可执行文件 (.exe)。我找到了一条 snort 规则:
alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; classtype: misc-activity; sid:5000789;)
我在/etc/snort/rules/local.rulesPerl中添加了这个
/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
然后重新启动 snort:
/etc/init.d/snort restart.
当我在 snort 控制台中检查 snort 二进制日志时,我可以看到 snort 规则检测到文件下载。但我想在 OSSIM Web UI 中的“事件”->“警报”部分下看到此警报。
我错过了什么?
答案1
尝试使用 forums.alienvault.com 来回答这类问题 - 他们往往能在那里得到更多答案。
您需要的是关联规则。请尝试查看论坛上列出的有关如何编写关联规则的文档。