Uso SecurityOnion con Snort / PulledPork / Snorby. Ricevo più avvisi di "ET POLICY Pandora Usage" un minuto per la stessa fonte e destinazione. Voglio impostare questi valori per ottenere 1 avviso al giorno per fonte.
La regola originale:
avviso tcp $ HOME_NET any - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flusso: stabilito, to_server; contenuto: "POST"; http_method; contenuto: "/ radio / xmlrpc /"; http_uri; contenuto: "pandora.com | 0d 0a | "; http_header; threshold: tipo threshold, track by_src, count 1, secondi 3600; reference: url, www.pandora.com; classtype: policy-violation; sid: 2014997; rev: 1;)
Ho modificato modifysid.conf in etc / nsm / pullpork / per includere questa riga: 2014997 "3600" "43200"
Dopo l'aggiornamento delle regole, la regola ora mostra in etc / nsm / rules / download.conf come:
avviso tcp $ HOME_NET any - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flusso: stabilito, to_server; contenuto: "POST"; http_method; contenuto: "/ radio / xmlrpc /"; http_uri; contenuto: "pandora.com | 0d 0a | "; http_header; threshold: tipo threshold, track by_src, count 1, second ** s 86400; reference: url, www.pandora.com; classtype: policy-violation; sid: 2014997; rev: 1;)
Questo è anche l'avviso corretto che viene inserito in Snorby mentre rivedo le regole. Ho persino provato a ridurre i secondi a un intervallo di tempo di 12 ore.
Niente ha funzionato, ho ancora lo stesso numero di regole. Perché tiri / snort non usa la soglia nella regola? Cosa sto sbagliando?
Qualsiasi aiuto è apprezzato, grazie.