Snortアラートログの簡単な質問
Snortアラートログを分析していますが、何を理解できません[1:1071:6]は
10/12-12:44:28.793118 [**] [1:1071:6] WEB-MISC .htpasswd access [**] [Classification: Web Application Attack] [Priority: 1] {TCP}
または[1:100000160:2]その他の場合。
マニュアルでもルールでも、それが何を意味するのかわかりませんでした。
Snortログ行の形式と、不明なフィールドの意味を知るにはどうすればよいですか?
これらの番号は、一意のIDとデータソースの組み合わせです。各Snortシグネチャは、SID(シグネチャID)とリビジョン番号で識別されます。 SIDは特定の署名を一意に識別するために使用され、リビジョンはその署名の編集番号です。したがって、元の署名はrev:1;であり、更新されるとrev:2;にインクリメントされます。
GID(Generator ID)と呼ばれるものもあります。ジェネレータは、snortプロセス内のさまざまな分析ルーチンです。具体的には、各プリプロセッサには独自のGIDがあり、タグ付けシステムにはGIDがあり、ルールエンジンにはGIDがあります。ルールエンジンは、さまざまなさまざまなルールファイルにあるシグネチャに対してパケットを実際に処理する処理サブシステムです。
ここで、すべてのコンテキストを有効に利用して、文字列[1:1071:6]は、このアラートがGID 1によって生成され、SID 1071リビジョン6によってトリガーされたことを通知します。GIDが1であるため、これはルールファイル。通常、このコマンドを実行して特定のルールを表示します。
grep 'sid:1071;' /etc/snort/rules/*.rules
今日それを実行すると、結果が得られます:
/etc/snort/rules/VRT-server-webapp.rules:# alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-WEBAPP .htpasswd access"; flow:to_server,established; content:".htpasswd"; fast_pattern:only; metadata:ruleset community, service http; classtype:web-application-attack; sid:1071; rev:13;)