目的は、SnortをIDSとして構成してネットワークアクティビティを監視し、IDSが警告する標準的なセットに対して警告することです->バッファオーバーフロー攻撃、インジェクション攻撃、ポートスキャン、情報漏えいなど。脆弱性の検出/悪用、機密データの漏洩、ポリシーの回避の試み。
ネットワーク管理者は、どのSnortルールを自分のネットワークで有効にする必要があると決定するとどうしますか?
使用する.rulesファイルの1つの候補リストと(それらの)ルールを有効にするにはどうすればよいですか?
検出に大きな影響を与える最も決定的な質問をしました。特に大規模ネットワークでは、IDSを最適に微調整するのは面倒(かなり興味深い)で継続的なフルタイムの仕事です。
一般的なルール