次のようなネットワークに入ってくる電子メール トラフィックを検出するルールを作成しようとしています。
特定のドメイン (gmail.com など) に送信
.xls ファイルです
名前の長さが最大 75 バイトのファイル名を持つ
電子メールの添付ファイルであり、この添付ファイルは特定のサイズであり、変更されることはありません (たとえば、添付ファイルのサイズは 100000 バイトです)。
他の人に注意してください、私はsnortの初心者です。邪魔にならないので、これまでのところこれしか管理していません:
content:"|05|gmail|03|com|00|"; nocase; pcre:"/([a-zA-Z0-9] {1,75}\.xls)";
そこにファイルサイズの添付ファイルの検出を取得する方法がわからない、またはファイル名とタイプを検出するためのpcreビットが正しいかどうかさえわかりません。どんな助けでも大歓迎です。