OSSIM Сигнализация для правил Snort

Question

OSSIM Сигнализация для правил Snort

Я новичок в OSSIM.

Мое требование - обнаруживать исполняемые файлы (.exe), используя snort. Я нашел правило фырканья:

 alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; classtype: misc-activity; sid:5000789;)

Я добавил это в /etc/snort/rules/local.rules и Perl

/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

Затем перезапустите фырканье:

/etc/init.d/snort restart.

Я вижу правило snort, определяющее загрузку файла, когда проверяю двоичный журнал snort в консоли snort. НО я хочу видеть это предупреждение в разделе Инциденты-> Оповещения в веб-интерфейсе OSSIM.

Что мне не хватает?

0

snort ossim

Источник

user851157 28 апр '13 в 11:52

1 ответ

Другие вопросы по тегам snort ossim

Tim Brigham 28 апр '13 в 15:19 2013-04-28 15:19 · Answer 1 · 2013-04-28 15:19

Попробуйте использовать форумы forum.alienvault.com для подобных вопросов - они, как правило, получают больше ответов.

Что вам нужно, это правило корреляции. Попробуйте документацию, указанную на форумах, о том, как ее написать.

0

Источник

Tim Brigham 28 апр '13 в 15:19