Sono un utente Snort relativamente nuovo con anni di esperienza di amministratore sys. Sento che mi manca qualcosa, perché trovo che le regole di Snort siano completamente prive di documenti e incomprensibili. Per questo motivo, non è possibile intraprendere azioni basate sull'avviso della regola per risolvere il problema.
Esempio: gli avvisi di My Snort includono quanto segue oggi: "SID 2016847: ET INFO Possibile installazione di Chrome Plugin"
Ok, Snort ritiene molto importante dirmi che c'è un'installazione per Chrome Plugin. Significa un'installazione di plugin esistente? O un'installazione appena scaricata? Chissà.
Trovo il seguente Wiki sul sito Web di Emerging Threats, che dovrebbe "documentare" cosa significano le regole dello Snort. Ecco la voce per SID 2016847:
Sorprendentemente, nessuna documentazione. Non un punto C'è un URL incorporato nella regola: link
Ok, fantastico. Finalmente qualcuno sta descrivendo quale sia la minaccia, due livelli di indirezione più tardi. Mentre l'autore descrive alcuni dei sintomi del plugin trojan, non c'è una parola su come affrontare il problema. Dovrei aggiornare il mio browser? Quale? Quali versioni? Qual è il nome dell'estensione malvagia da eliminare? L'eliminazione sarà sufficiente? Devo riavviare il mio computer? Dovrei masterizzare il mio disco rigido in un pentagramma fiammeggiante?
Speravo davvero che Snort sarebbe stato utile, e non solo sputare tonnellate di allarmi che non sono perseguibili. Spero che qualche esperto esperto in sicurezza qui possa illuminarmi sul modo corretto di rispondere a questi avvisi. Se la tua risposta è "sopprimi ogni avviso che non capisci", allora non stai rispondendo alla domanda. Ci dovrebbe essere un modo per ogni amministratore di computer ragionevolmente esperto di leggere questi avvisi, capire cosa devono controllare o fare e affrontare il problema di root.