snortが「アラート」ルールのみを使用するのはなぜですか?
コミュニティルールと登録済みルールのうち、すべてが「アラート」タイプのルールのみです。 log、pass、activate、dynamic、drop、sdropのようなより多くのルールタイプがあるため、snortの公式ルールセットはアラートタイプのみを使用します。なぜ他のタイプのルールがsnort公式ルールセットに含まれていないのですか?
すべてのsnort公式ルールセットで「アラート」ルールのみを使用する特別な理由はありますか?
安全上の注意です。アラートとのすべての一致を定義すると、ユーザーに問題を引き起こすことなく、snortを最初にインストールできます。
組織で初めてsnortをセットアップするネットワークチームにいるとします。突然あなたのアプリチームはウェブサイトが機能しなくなったという電話を受けています!誰もその理由を知らないだろうし、それは大きな緊急事態になるだろう。最終的には、誰かがWiresharkを突破し、新しいsnortボックスから送信されるこれらの奇妙なRSTパケットを発見するのに十分な利口な人になることを期待できます。理由を調査したところ、既存のパケットの1つに一致するsnortルールがあり、それが拒否するように構成されているため、正当な接続が強制終了されたことがわかりました。あなたの組織の人々はあなたに非常に不満を抱くでしょう。
最初にアラートを設定することで、snortをインストールしても組織に影響はありません。もちろん、表示されたすべてのアラートを調査することができます(調査する必要があります)。それらのいくつかはおそらく誤検知であることがわかります-それらのいずれかが接続をリセットするか、パケットをドロップするように構成されていた場合、snortが大惨事の原因であったでしょう。
逆もまた真実です。デフォルト設定としてのみログに記録するように設定しないことにより、実際の悪意のあるトラフィックを無視できないようにすることにも注意を払っています。
アイデアは、snortをオンにすると、通常のトラフィックの一部として突然大量のアラートを受け取り、それらすべてを評価する必要があるというものです。ほとんどは安全な説明があり、あなたはそれらを渡すことを選択できます。奇妙なものもあり、ログに記録することもできます。いくつかは、削除したいデータの正当なアラートである場合があります。そして、他に何か発見した場合、それはネットワークで望まない本当に悪いトラフィックかもしれないので、それらを拒否するように設定します。
「アラート」タイプは、シグニチャが一致したときにその種のイベントを生成する場合に使用できるデフォルトのタイプです。たとえば、必要に応じて、アプリケーションの使用をカスタマイズするために、常にアラートを受け取らないようにすることができます。
いくつかの分析手法を使用して1日に1回分析できるように、うるさすぎる可能性がある一部のルールに「ログ」タイプを設定する場合があります。
まあ、[〜#〜] alert [〜#〜]がデフォルトのルールアクションです。コミュニティルールおよび登録済みルールのルールアクションとしてALERTを使用することは、さらにベストプラクティスの問題です。私の知る限り、その背後にある技術的な理由はありません。
なぜですか?他のルールアクションオプションは、実際にはユーザー固有です。それらを使用して、特定の目的を達成するか、ネットワーク固有の目標を達成します。コミュニティルールと登録済みのルールも汎用ルールであり、おそらくカスタマイズすることになります。
さらに、それらがどのように機能するかを実際に理解せずに他のルールアクションを使用すると、特に鼻を鳴らすのが初めての人にとっては有害である可能性があります。たとえば、デフォルトのルールセットでログを含むルールやアクションを無視する理由は何ですか?これは、SNORTデプロイメントで望ましい動作になる可能性がありますが、他の場合はそうではありません。