Назад | Перейти на главную страницу

snort не записывает полный вывод в системный журнал

Я могу отправлять предупреждения snort на мой удаленный сервер системного журнала, но я не могу видеть полное сообщение предупреждения; Я вижу только базовую информацию, такую ​​как заголовок, IP-адрес источника и назначения. Меня особенно интересует получение поля XREF (CVE, bugtraq и т. Д.).

Я запускаю системный журнал как- 

snort -c /etc/snort/snort.conf

Кто-нибудь смог этого добиться?

Вы, вероятно, видите все, что видите на самом деле. Snort работает как антивирусное приложение. Вы предоставляете ему список сигнатур, которые указывают на неисправность (файлы правил), и всякий раз, когда Snort видит шаблон трафика, который соответствует указанной сигнатуре, он выдает предупреждение. Информация, которую вы получаете для каждого предупреждения, настраивается автором правила. Например, давайте посмотрим на следующее предупреждение

[1:2013497:2] ET TROJAN MS Terminal Server User A Login, possible Morto inbound [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.15.253.22:3254 -> 192.168.100.15:3389

Итак, мы знаем

  1. 4 кортежа, который идентифицирует сетевое соединение (10.15.253.22:3254 -> 192.168.100.15:3389)
  2. описание, объясняющее, что означает это предупреждение (немного о Морто)
  3. и идентификатор правила (2013497)

Теперь давайте посмотрим на фактическое правило, которое это вызвало.

alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"ET TROJAN MS Terminal Server User A Login, possible Morto inbound"; flow:to_server,established; content:"|03 00 00|"; depth:3; content:"|e0 00 00 00 00 00|"; offset:5; depth:6; content:"Cookie|3a| mstshash=a|0d 0a|"; nocase; reference:cve,CAN-2001-0540; classtype:protocol-command-decode; sid:2013497; rev:2;)

Мы видим, что описательный текст, о котором мы получаем предупреждение, находится в сообщение поле. На самом деле это просто поле с произвольным текстом, которое используется автором правила, чтобы сообщить нам, что происходит. При ведении системного журнала предупреждения приложение Snort только регистрирует эту информацию. То есть больше ничего не получите. Сейчас я считать Вам нужна ссылка CAN-2001-0540.

Вам следует обратить внимание на некоторые дополнительные программы, которые работают с Snort. Некоторые из них существуют годами. Мне сразу приходят в голову два проекта: Snorby и ОСНОВАНИЕ. Настройка любого из них воля увеличили сложность вашей среды, но, возможно, это того стоит.