Esiste una regola Snort che equivale a "qualcosa di sospetto contrassegnato da un'applicazione lato client?"

1

Il ragionamento è quello che succede se un'azienda monitora gli avvisi di sniff in modo più approfondito, piuttosto che dire syslog. C'è un avviso predefinito specifico per "l'app lato client dice che qualcosa di strano sta succedendo"?

    
posta RobotHumans 22.03.2012 - 17:10
fonte

1 risposta

1

Snort esamina l'attività di rete, quindi dovrebbe essere qualcosa che l'app lato client invia attraverso la rete. A quel punto, avresti bisogno di guardare i messaggi che il client invia, che potrebbe essere afferrato da Snort. Pre-definito? No, ci sono troppe app lato client per catturarle tutte.

Modello di regola Snort:

alert tcp any any -> any 80 (msg: "Client Unhappy";content:"Client unhappy text";nocase;)

Questa regola è piuttosto semplice, ma è il punto di partenza. Per ridurre i falsi positivi, dovresti anche esaminare le porte utilizzate dal client e dal server per comunicare i messaggi e perfezionare le regole per guardarli.

Qui è una guida SANS su come guardare per determinati testi e perfezionamenti.

    
risposta data 22.03.2012 - 17:51
fonte

Leggi altre domande sui tag