Привет!
Кто пользуется Snortom - есть ли ресурсы с подробным описанием правил? Т.е. насколько алерт опасен и из-за чего собственно правило появилось.
Я в курсе про приоритеты и сами правила не такие уж и сложные для понимания. НО.. не у всех, кто хочет понимать алерты есть время изучать написание правил и есть такие правила, что просто жуть!
Пример:
"msg:"GPL SHELLCODE x86 inc ebx NOOP"; content:"CCCCCCCCCCCCCCCCCCCCCCCC"; classtype:shellcode-detect; sid:2101390; rev:8;"..и это всё? Т.е. кучка полученных ССС и это сразу шелл? Или вот такое:
"msg:"ET TROJAN Andromeda Checkin"; flow:established,to_server; content:"POST"; nocase; http_method; content:"User-Agent|3a| Mozilla/4.0|0d 0a|"; fast_pattern:12,13; http_header; pcre:"/^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})([\r\n](?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4}))?$/Pi";"..кто в здравом уме будет разбираться с сотней таких?
Это просто примеры, не придирайтесь. Вопрос в том, есть ли где-то описание правил просто текстом? Часть, но очень малая, есть на сайте Snort-a, например: https://www.snort.org/rule_docs/653
вот что-то такое, но для большего количества правил - скопировал SID, нашел и прочитал. Как вы анализируете алерты?