В этом руководстве будут объяснены режимы оповещения Snort, чтобы дать Snort команду сообщать об инцидентах 5 различными способами (игнорируя режим «без оповещения»), быстро, полно, консоль, cmg и unock.
Если вы не читали статьи, упомянутые выше, и у вас нет предыдущего опыта работы с snort, начните с учебника по установке и использованию Snort и продолжите со статьей о правилах, прежде чем продолжить эту лекцию. В этом руководстве предполагается, что у вас уже запущен Snort.
Давайте укажем, что Snort имеет 6 режимов оповещения:
Быстрый: в этом режиме Snort будет сообщать метку времени, предупреждающее сообщение, IP-адрес источника и порт, а также IP-адрес и порт назначения. (-Быстрый)
Полный: в дополнение к предупреждению в быстром режиме, полный режим включает в себя: TTL, IP-пакет и длину IP-заголовка, услугу, тип ICMP и порядковый номер. (-Полный)
Приставка: печатает быстрые оповещения в консоли. (-Консоль)
Cmg: Этот формат был разработан Snort для целей тестирования, он выводит на консоль полное оповещение без сохранения отчетов в журналах. (-Смг)
Отстыковать: экспорт отчета в другие программы через Unix Socket. (-Расстыковка)
Никто: Snort не генерирует оповещения. (-Нет)
Всем режимам предупреждений предшествует значок -А который является параметром для предупреждений. Оповещения сохраняются в журнале / var / журнал / snort / предупреждение. Правила Snort по умолчанию способны обнаруживать нерегулярную активность, такую как сканирование портов. Давайте протестируем каждый режим оповещения:
Тест быстрого оповещения:
snort -c / и т.д. / snort / snort.conf -q -A быстро
Где:
фырканье= вызывает программу
-c= путь к файлу конфигурации, в данном случае путь по умолчанию (/ etc / snort / snort.conf)
-q= предотвращает отображение исходной информации snort
-А= определяет режим оповещения, в данном случае быстрый.
В то время как с другого компьютера я запустил сканирование nmap против 1000 основных портов, предупреждения начали регистрироваться в / var / журнал / snort / предупреждение.
Полный тест предупреждений:
snort -c / и т.д. / snort / snort.conf -q -A полный
Где:
фырканье= вызывает программу
-c= путь к файлу конфигурации, в данном случае путь по умолчанию (/ etc / snort / snort.conf)
-q= предотвращает отображение исходной информации snort
-А= определяет режим оповещения, в данном случае полный.
Как видите, отчет дает дополнительную информацию к быстрому.
Тест предупреждений консоли:
С помощью теста предупреждений консоли мы будем получать предупреждения, напечатанные в консоли, для этого запуска
snort -c / и т.д. / snort / snort.conf -q -A консоль
Где:
фырканье= вызывает программу
-c= путь к файлу конфигурации, в данном случае путь по умолчанию (/ etc / snort / snort.conf)
-q= предотвращает отображение исходной информации snort
-А= определяет режим оповещения, в данном случае console.
Как видите, распечатанная информация ближе к быстрому оповещению, чем к полному.
Cmg alert test:
Теперь давайте получим отчет в консоли с информацией о полном отчете и многом другом. Этот режим был разработан для тестирования и не регистрирует результаты.
snort -c / и т.д. / snort / snort.conf -q -A cmg
Где:
фырканье= вызывает программу
-c= путь к файлу конфигурации, в данном случае путь по умолчанию (/ etc / snort / snort.conf)
-q= предотвращает отображение исходной информации snort
-А= определяет режим оповещения, в данном случае cmg.
Чтобы предупреждение о снятии блокировки сработало, вам необходимо интегрировать его в стороннюю программу или плагин.
Режим оповещения по умолчанию Snort - это полный режим, если вам не нужна дополнительная информация о посте, то быстрый режим повысит производительность.
Я надеюсь, что это руководство помогло разобраться в режимах оповещения Snort.