Intervallo di priorità dello snort

0

Qual è l'intervallo di valori per il parametro 'priority' in una regola Snort? La documentazione non lo rende chiaro:

The priority tag assigns a severity level to rules. A classtype rule assigns a default priority (defined by the config classification option) that may be overridden with a priority rule. Examples of each case are given below.

Format

priority:<priority integer>;

Examples

alert tcp any any -> any 80 (msg:"WEB-MISC phf attempt"; flags:A+; \ content:"/cgi-bin/phf"; priority:10;)

alert tcp any any -> any 80 (msg:"EXPLOIT ntpdx overflow"; \ dsize:>128; classtype:attempted-admin; priority:10 );

    
posta Astrophe 02.01.2018 - 14:39
fonte

1 risposta

1

La risposta breve:

Qualunque cosa il tuo cuore desideri. Appena testato fino a priority:1000000; e funziona perfettamente.

Che cosa dice nel manuale:

Quanto segue è stato messo in §3.4.6 - classtype , la sezione immediatamente precedente alla priorità :

Attack classifications defined by Snort reside in the classification.config file. The file uses the following syntax:

config classification: <class name>,<class description>,<default priority>

These attack classifications are listed in Table 3.2. They are currently ordered with 4 default priorities. A priority of 1 (high) is the most severe and 4 (very low) is the least severe.

Spero che questo risponda alla tua domanda!

    
risposta data 03.01.2018 - 21:01
fonte

Leggi altre domande sui tag