Как обнаружить пару пингов, передаваемых с виртуальной машины на другую, с помощью Snort, который интегрирован в AlienVault?

Question

Как обнаружить пару пингов, передаваемых с виртуальной машины на другую, с помощью Snort, который интегрирован в AlienVault?

Для записи: я сделал следующую инструкцию (нашел их на сайте)

Я включил датчики фырканья (snort_syslog а также snortunified).
В Alienvault: ~# nano /etc/snort/rules/local.rules

Я сделал следующее правило

alert icmp 192.168.1.130 192.168.1.120 -> any any
(msg:"blablabla"; sid:1000004)

Сохранить и выйти

После этого я сделал:

alienvault:~# perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

alienvault:~# /etc/init.d/ossim-server restart

По некоторым причинам ничего не происходит в интерфейсе AlienVault в SIEM, когда я пингуюсь 192.168.1.120 от 192.168.1.130,

Есть идеи??

0

snort alienvault

Источник

user4966567 10 июн '15 в 18:48

1 ответ

Другие вопросы по тегам snort alienvault

user4809312 08 июл '15 в 14:13 2015-07-08 14:13 · Answer 1 · 2015-07-08 14:13

Я не знаю, актуально ли это, но, по моему мнению, в вашем правиле Snort есть ошибка:

Правило в Snort не может состоять из двух IP-адресов в первой части заголовка правила. В точке, где вы объявили IP "192.168.1.120", вы должны объявить порт.

Нужное решение выглядит следующим образом (если я правильно понял):

alert icmp 192.168.120 any -> 192.168.1.130 any (msg: "blablabla"; sid:1000004)

А также другой способ:

alert icmp 192.168.1.130 any -> 192.168.1.120 any (msg: "blablabla"; sid:1000005)

Для написания правил в правильном синтаксисе взгляните на руководство по snort: http://manual.snort.org/node29.html

Я надеюсь, что это может помочь вам.

/Крис