Suricata условные оповещения

Question

Я спрашиваю о Сурикате

Есть ли способ написать условное оповещение?

Например - оповещение о HTTP GET, если статус сервера по запросу "успешен"

Спасибо эфрат

suricata

Источник

user4218371 06 апр '16 в 11:33

2 ответа

Другие вопросы по тегам suricata

user2756873 08 апр '16 в 13:24 2016-04-08 13:24 · Answer 1 · 2016-04-08 13:24

Все оповещения являются условными, так как они запускаются условиями в правиле.

Правило для совпадения в сообщении о статусе в http будет выглядеть примерно так:

оповещение http любой любой -> любой любой (содержимое:"success"; http_stat_msg; sid:12345;)

user7187461 20 дек '16 в 04:05 2016-12-20 04:05 · Answer 2 · 2016-12-20 04:05

Вы можете сделать это при условии, что вы обновите свое имя файла правил в файле suricata.yaml. Самый простой способ сделать это:

Создать файл custom.rule с настраиваемыми оповещениями
добавьте customer.rule в список правил.
сделать живую перезагрузку ( Kill -USR2) или
```
start :suricata -c /etc/suricata/suricata.yaml -i <interface>
```
когда вы отправляете трафик, вы должны видеть оповещения в fast.log