Come dare un senso e agire su Snort Rules?

0

Sono un utente Snort relativamente nuovo con anni di esperienza di amministratore sys. Sento che mi manca qualcosa, perché trovo che le regole di Snort siano completamente prive di documenti e incomprensibili. Per questo motivo, non è possibile intraprendere azioni basate sull'avviso della regola per risolvere il problema.

Esempio: gli avvisi di My Snort includono quanto segue oggi: "SID 2016847: ET INFO Possibile installazione di Chrome Plugin"

Ok, Snort ritiene molto importante dirmi che c'è un'installazione per Chrome Plugin. Significa un'installazione di plugin esistente? O un'installazione appena scaricata? Chissà.

Trovo il seguente Wiki sul sito Web di Emerging Threats, che dovrebbe "documentare" cosa significano le regole dello Snort. Ecco la voce per SID 2016847:

link

Sorprendentemente, nessuna documentazione. Non un punto C'è un URL incorporato nella regola: link

Ok, fantastico. Finalmente qualcuno sta descrivendo quale sia la minaccia, due livelli di indirezione più tardi. Mentre l'autore descrive alcuni dei sintomi del plugin trojan, non c'è una parola su come affrontare il problema. Dovrei aggiornare il mio browser? Quale? Quali versioni? Qual è il nome dell'estensione malvagia da eliminare? L'eliminazione sarà sufficiente? Devo riavviare il mio computer? Dovrei masterizzare il mio disco rigido in un pentagramma fiammeggiante?

Speravo davvero che Snort sarebbe stato utile, e non solo sputare tonnellate di allarmi che non sono perseguibili. Spero che qualche esperto esperto in sicurezza qui possa illuminarmi sul modo corretto di rispondere a questi avvisi. Se la tua risposta è "sopprimi ogni avviso che non capisci", allora non stai rispondendo alla domanda. Ci dovrebbe essere un modo per ogni amministratore di computer ragionevolmente esperto di leggere questi avvisi, capire cosa devono controllare o fare e affrontare il problema di root.

    
posta taltman 15.06.2015 - 22:35
fonte

2 risposte

2

Se desideri qualcosa che fornisca consigli mirati alle tue esigenze e al tuo ambiente specifico, un'installazione gratuita di Snort o Suricata senza un contratto di assistenza da un fornitore affermato o da un buon consulente non è probabilmente la soluzione migliore per i tuoi desideri, sebbene possa adattarsi il tuo budget.

In generale, inizia con i set di regole SNORT che usi - le regole della comunità e / o le minacce emergenti aperte o Pro e / o uno dei set di regole SNORT.

Guarda quali avvisi invia, dove e da dove.

  • Potrebbe essere necessario abilitare SNORT su un'interfaccia LAN per avere una visione migliore di dove provengono. In alternativa, assegna un NAT 1: 1 a uno o più IP interni sospetti in modo che l'indirizzo IP esterno sia significativo in qualche modo.
  • Leggi le regole! Segui i link! Usa i tuoi motori di ricerca!
  • imparare!
    • Proprio ieri sera ho abilitato alcune regole di Confiker-C che avvisano immediatamente su un'app che mi aspettavo fosse buona e che risultasse pulita su più scansioni antivirus.
  • Esperimento!
    • Nel tuo esempio, prova un aggiornamento del plug-in di Chrome, controlla se avvisa. Quindi prova una nuova installazione, controlla se avverte.
  • Abilita o Disabilita! La procedura più efficace per rimuovere una regola è disattivarla.
  • Elimina!
    • Sopprimere le regole a specifici IP consente la "whitelisting" regola + combinazioni IP, che è piuttosto utile.
    • Ogni volta che si elimina, aprire il file di soppressione e aggiungere un commento sul motivo per cui è stata soppressa la regola in quel caso. Questo sarà utile in seguito quando valuti l'elenco di soppressione e a chiunque altro erediti ciò che hai fatto.

Le regole SNORT non dovrebbero informarti su cosa dovresti fare al riguardo; per esempio, il mio avviso ricorrente preferito è "ET POLICY obsoleto Windows Flash Version IE"  - Ovviamente, dovresti disinstallare completamente Flash!  - Aspetta, no, dovresti aggiornare Flash!  - Ehi, questo è per una particolare app business mission critical che non funziona su new Flash, e dovresti sopprimere l'avviso SOLO per questo particolare indirizzo IP.

Non c'è modo che qualcun altro possa conoscere la tua attività.

Non c'è alcun modo in cui gli autori delle regole possono prevedere futuri falsi positivi, anche se hanno il tempo, il budget e l'inclinazione a cercare con la massima attenzione i falsi positivi su tutto il traffico legittimo possibile.

Per riassumere, hai tre scelte principali: Assumi un esperto per farlo per te, scopri ogni tipo di avviso utilizzando i dati forniti e alcune ricerche, oppure disabilita ciecamente.

Se aiuta, la curva di apprendimento è uniforme, fino a quando non viene visualizzato il prossimo problema (SNORT blocca un particolare lettore Blu-Ray dall'accesso a Netflix perché è vulnerabile a POODLE e il produttore non lo ha corretto o mai, per istanza), e quindi la ricerca dovrebbe essere più semplice.

    
risposta data 16.06.2015 - 01:36
fonte
1

In genere, ogni regola include un riferimento al problema. Nel tuo caso specifico, la regola riporta direttamente:

reference:url,blogs.technet.com/b/mmpc/archive/2013/05/10/browser-extension-hijacks-facebook-profiles.aspx

Questa linea è direttamente nella regola stessa e serve come spiegazione.

La regola esiste per avvisarti di traffico sospetto. È necessario determinare quali rischi e azioni devono essere. Snort non è uno strumento per la risoluzione dei problemi degli utenti finali a ciclo completo; Ispeziona il traffico e gli avvisi in base alle firme. L'intento non è quello di dirvi come risolvere il problema, solo per avvisare di un potenziale problema. È la spia del "controllo motore" sul cruscotto. Quando si accende, è necessario avviare un'indagine.

    
risposta data 15.06.2015 - 22:57
fonte

Leggi altre domande sui tag