Domande con tag 'snort'

2
risposte

Non riesco a capire la sintassi dell'opzione per la regola pcre SNORT "? P = nome"

Mentre cercavo di capire alcune linee di regole SNORT, mi sono imbattuto nella seguente sintassi che non riuscivo a capire. Non ho trovato alcuna descrizione nel manuale (anche se devo ammettere che non l'ho ancora letto completamente). Due e...
posta 09.06.2014 - 13:00
2
risposte

Come dare un senso e agire su Snort Rules?

Sono un utente Snort relativamente nuovo con anni di esperienza di amministratore sys. Sento che mi manca qualcosa, perché trovo che le regole di Snort siano completamente prive di documenti e incomprensibili. Per questo motivo, non è possibile...
posta 15.06.2015 - 22:35
1
risposta

Analizzando il registro di Apache con Snort

Ho bisogno di analizzare un registro Apache con Snort e altri IDS / WAF (Suricata, mod_security e Shadow Daemon). Per fare ciò, stavo pensando di creare pacchetti TCP con le richieste GET e POST archiviate nel log di Apache con Scapy in Python....
posta 04.09.2018 - 17:56
1
risposta

Snort Alert - Cos'è PROTO: 255?

L'output dell'allarme My Snort è come sotto. Il primo elemento della quarta riga di ciascun avviso indica Protocollo. Tuttavia, nell'avviso (portscan) TCP Portscan , il protocollo è PROTO: 255 . Cosa significa? Perché Ports può usare PROT...
posta 14.06.2017 - 17:54
1
risposta

Che cosa significa questa regola snort?

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-BACKDOOR access remote pc runtime detection - init connection"; flow:to_server,established; content:"|99 F3 00 00 00 00 00 00 FF FF FF FF|"; depth:12; flowbits:set,AccessRemotePC_de...
posta 01.11.2015 - 15:40
1
risposta

Utilizzo di OpenAppID senza Snort [chiuso]

Cisco Security ha introdotto il meccanismo di rilevamento e controllo delle applicazioni open source che ha chiamato "OpenAppID". Che può essere controllato in link Diciamo che ho un'applicazione sniffer per me stesso; se implemento il bind...
posta 02.01.2015 - 13:16
1
risposta

IDS tassi falsi positivi

Esistono standard accettati dal settore per i tassi di falsi positivi per un ID di rete basato su Snort? C'è un modo per controllare i tassi di falsi positivi in un IDS distribuito? (idealmente senza guardare tutti i record di rete). Ho letto su...
posta 14.01.2014 - 01:56
1
risposta

Gestisce le regole di snort da remoto [chiuso]

Ho più sensori di snort nella mia rete e vorrei gestire le regole di ciascuno da remoto. C'è qualche software che lo fa? grazie in anticipo     
posta 13.12.2013 - 17:51
1
risposta

Come specificare una durata della connessione della regola Snort?

È persino possibile specificare in una regola di snort la durata di una connessione? Ad esempio: in questo formato Ora, Minuto, Secondo H, M, S = 0, 2, 1 Se una connessione ha la durata di 2 minuti e 1 secondo, quindi avvisare. O in...
posta 25.04.2013 - 20:12
1
risposta

Intervallo di priorità dello snort

Qual è l'intervallo di valori per il parametro 'priority' in una regola Snort? La documentazione non lo rende chiaro: The priority tag assigns a severity level to rules. A classtype rule assigns a default priority (defined by the config cla...
posta 02.01.2018 - 14:39