Il ragionamento è quello che succede se un'azienda monitora gli avvisi di sniff in modo più approfondito, piuttosto che dire syslog. C'è un avviso predefinito specifico per "l'app lato client dice che qualcosa di strano sta succedendo"?
Il ragionamento è quello che succede se un'azienda monitora gli avvisi di sniff in modo più approfondito, piuttosto che dire syslog. C'è un avviso predefinito specifico per "l'app lato client dice che qualcosa di strano sta succedendo"?
Snort esamina l'attività di rete, quindi dovrebbe essere qualcosa che l'app lato client invia attraverso la rete. A quel punto, avresti bisogno di guardare i messaggi che il client invia, che potrebbe essere afferrato da Snort. Pre-definito? No, ci sono troppe app lato client per catturarle tutte.
Modello di regola Snort:
alert tcp any any -> any 80 (msg: "Client Unhappy";content:"Client unhappy text";nocase;)
Questa regola è piuttosto semplice, ma è il punto di partenza. Per ridurre i falsi positivi, dovresti anche esaminare le porte utilizzate dal client e dal server per comunicare i messaggi e perfezionare le regole per guardarli.
Qui è una guida SANS su come guardare per determinati testi e perfezionamenti.
Leggi altre domande sui tag network incident-response ids snort