Как получить VLAN ID в предупреждении о фырканье?
Я пытаюсь разобрать предупреждения snort и отфильтровать необходимую информацию, такую как идентификатор vlan, к которому принадлежит вредоносная внутренняя машина! Тем не менее, я могу только получить сообщение, IP-адрес источника и назначения, мне также нужно получить идентификатор VLAN.
Спасибо
1 ответ
(Предполагая, что вы используете формат журнала Unified2)
Вы можете получить идентификатор VLAN, зарегистрированный с помощью vlan_event_types параметр при указании конфигурации оповещения:
output alert_unified2: \
filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
[, vlan_event_types]
Когда этот параметр включен и пакет содержит заголовок VLAN, элемент журнала будет содержать следующую запись с vlan id:
E. Событие Unified2 IDS (Версия 2)
sensor id 4 bytes event id 4 bytes event second 4 bytes event microsecond 4 bytes signature id 4 bytes generator id 4 bytes signature revision 4 bytes classification id 4 bytes priority id 4 bytes ip source 4 bytes ip destination 4 bytes source port/icmp type 2 bytes dest. port/icmp code 2 bytes protocol 1 byte impact flag 1 byte impact 1 byte blocked 1 byte mpls label 4 bytes vlan id 2 bytes padding 2 bytesСобытие Unified2 IDS (версия 2) регистрируется для пакетов IPv4, которые содержат заголовки MPLS или VLAN. В противном случае регистрируется событие Unified2 IDS.
Обратите внимание, что вам нужно передать –enable-mpls для настройки, чтобы Snort заполнил поле метки mpls.
Обратите внимание, что вам нужно настроить ведение журнала unified2 с помощью mpls_event_types или vlan_event_types, чтобы получить этот тип записи.