Sto analizzando il registro degli allarmi Snort e non riesco a capire cosa significhi [1:1071:6] in
10/12-12:44:28.793118 [**] [1:1071:6] WEB-MISC .htpasswd access [**] [Classification: Web Application Attack] [Priority: 1] {TCP}
Oppure diciamo [1:100000160:2] in altri casi.
Non sono riuscito a trovare cosa significhi né nei manuali né nelle regole.
Come posso capire in quale formato sono presenti le righe del registro Snort e quali campi sconosciuti rappresentano?
Questi numeri sono una combinazione di identificazione univoca e origine dati. Ogni firma di Snort è identificata da un SID (Signature ID) e un numero di revisione. Il SID viene utilizzato per identificare in modo univoco quella specifica firma e la revisione è il numero di modifica di tale firma. Quindi la firma originale è rev:1; , quindi se viene aggiornata, incrementata a rev:2; e così via.
Esiste anche un cosiddetto GID (ID generatore). I generatori sono diverse routine di analisi all'interno del processo snort. Nello specifico, ciascun preprocessore ha il proprio GID, il sistema di tagging ha un GID e il motore delle regole ha un GID. Il motore delle regole è il sottosistema di elaborazione che elabora effettivamente i pacchetti rispetto alle firme trovate in tutti i vari e diversi file di regole.
Ora, mettendo tutto quel contesto a buon uso, la stringa [1:1071:6] ci dice che questo allarme è stato prodotto da GID 1 e attivato dalla revisione SID 1071 6. Dato che ha un GID di 1, sappiamo che questo può essere trovato in i file delle regole. Solitamente eseguo questo comando per visualizzare una regola specifica:
grep 'sid:1071;' /etc/snort/rules/*.rules
Gestirlo oggi mi dà il risultato:
/etc/snort/rules/VRT-server-webapp.rules:# alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-WEBAPP .htpasswd access"; flow:to_server,established; content:".htpasswd"; fast_pattern:only; metadata:ruleset community, service http; classtype:web-application-attack; sid:1071; rev:13;)