Ho un file di registro snort in formato unified2 e sono in grado di visualizzare l'output usando l'utilità u2spewfoo.
Penso di aver compreso l'id del generatore, l'ID della firma e la revisione, spiegandomi perché l'avviso è stato generato, ma non sono sicuro di come sia ragionevole.
Ad esempio, ho (senza dati a pacchetto):
(Event)
sensor id: 0 event id: 3 event second: 1516750250 event microsecond: 585397
sig id: 527 gen id: 1 revision: 8 classification: 3
priority: 2 ip source: 0.0.0.0 ip destination: 255.255.255.255
src port: 68 dest port: 67 protocol: 17 impact_flag: 0 blocked: 0
mpls label: 0 vland id: 0 policy id: 0
Credo che quello di cui ho bisogno è nella terza riga (sig id :). Che cosa mi dice questo e come lo mappo alla regola che ha generato l'evento?
Se aiuta, ho un'installazione Debian vanilla con solo i pacchetti snort e snort-rules-default installati. L'avviso sopra è stato generato elaborando un file pcap che avevo da pochi mesi utilizzando il comando:
snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.1.0/24] -r daemonlogger.pcap.1516xxxxxx
Questo ha scaricato diversi avvisi su /var/log/snort/snort.log, che ho poi analizzato con l'utilità u2spewfoo.