Filtro eventi Snort / PulledPork tramite modifysid.conf che non filtra traffico [chiuso]

0

Uso SecurityOnion con Snort / PulledPork / Snorby. Ricevo più avvisi di "ET POLICY Pandora Usage" un minuto per la stessa fonte e destinazione. Voglio impostare questi valori per ottenere 1 avviso al giorno per fonte.

La regola originale:

avviso tcp $ HOME_NET any - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flusso: stabilito, to_server; contenuto: "POST"; http_method; contenuto: "/ radio / xmlrpc /"; http_uri; contenuto: "pandora.com | 0d 0a | "; http_header; threshold: tipo threshold, track by_src, count 1, secondi 3600; reference: url, www.pandora.com; classtype: policy-violation; sid: 2014997; rev: 1;)

Ho modificato modifysid.conf in etc / nsm / pullpork / per includere questa riga: 2014997 "3600" "43200"

Dopo l'aggiornamento delle regole, la regola ora mostra in etc / nsm / rules / download.conf come:

avviso tcp $ HOME_NET any - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flusso: stabilito, to_server; contenuto: "POST"; http_method; contenuto: "/ radio / xmlrpc /"; http_uri; contenuto: "pandora.com | 0d 0a | "; http_header; threshold: tipo threshold, track by_src, count 1, second ** s 86400; reference: url, www.pandora.com; classtype: policy-violation; sid: 2014997; rev: 1;)

Questo è anche l'avviso corretto che viene inserito in Snorby mentre rivedo le regole. Ho persino provato a ridurre i secondi a un intervallo di tempo di 12 ore.

Niente ha funzionato, ho ancora lo stesso numero di regole. Perché tiri / snort non usa la soglia nella regola? Cosa sto sbagliando?

Qualsiasi aiuto è apprezzato, grazie.

    
posta Thomas 25.02.2014 - 17:37
fonte

1 risposta

1

Cambiati, digitano da "threshold" a "limit" e sembra aiutare.

    
risposta data 07.03.2014 - 18:45
fonte

Leggi altre domande sui tag