Я новичок в OSSIM.
Мое требование - обнаруживать исполняемые файлы (.exe) с помощью snort. Я нашел правило фырканья:
alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; classtype: misc-activity; sid:5000789;)
Я добавил это в /etc/snort/rules/local.rules
и Perl
/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
Затем перезапустите snort:
/etc/init.d/snort restart.
Я вижу, что правило snort определяет загрузку файла, когда я проверяю двоичный журнал snort в консоли snort. НО я хочу видеть это предупреждение в разделе «Инциденты-> Предупреждения» веб-интерфейса OSSIM.
Что мне не хватает?
Попробуйте ответить на подобные вопросы на forum.alienvault.com - там они, как правило, получают больше ответов.
Что вам нужно, так это правило корреляции. Ознакомьтесь с документацией на форумах о том, как ее написать.