Назад | Перейти на главную страницу

OSSIM Alarms для правил Snort

Я новичок в OSSIM.

Мое требование - обнаруживать исполняемые файлы (.exe) с помощью snort. Я нашел правило фырканья:

 alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; classtype: misc-activity; sid:5000789;)

Я добавил это в /etc/snort/rules/local.rules и Perl

/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/ 

Затем перезапустите snort:

/etc/init.d/snort restart.

Я вижу, что правило snort определяет загрузку файла, когда я проверяю двоичный журнал snort в консоли snort. НО я хочу видеть это предупреждение в разделе «Инциденты-> Предупреждения» веб-интерфейса OSSIM.

Что мне не хватает?

Попробуйте ответить на подобные вопросы на forum.alienvault.com - там они, как правило, получают больше ответов.

Что вам нужно, так это правило корреляции. Ознакомьтесь с документацией на форумах о том, как ее написать.