Come utilizzare snort con local.rules in modalità offline?

3

Uso la distro SecurityOnion e vorrei eseguire snort sui miei file pcap. C'è un modo per specificare solo una regola? Non riesco a capire se viene utilizzato local.rules .

Come posso mostrare solo il risultato delle mie regole invece dello standard output?

    
posta CDominik 13.08.2015 - 14:30
fonte

1 risposta

1

Stai cercando di far visualizzare a Snort solo il risultato delle tue regole personalizzate create in local.rules?

Perché non crearne uno come un esempio qui sotto in local.rules, spostare tutte le altre regole esistenti in qualche altro posto lasciando solo le local.rules per il test? In questo modo, verranno controllate solo le tue local.rules.

avviso tcp any any - > any any (msg: "Test TCP"; sid: 10002)

Quando esegui Snort in modalità IDS, verrà visualizzato sotto gli avvisi ogni volta che si verifica un traffico TCP.

Spero che questo aiuti.

    
risposta data 11.02.2016 - 06:52
fonte

Leggi altre domande sui tag