0

質問がプログラミングに関連していると見なされるかどうかはわかりませんが、とにかく試してみます。Alienvault OSSIM システムは初めてです。自分でルールを作る方法を学ぼうとしていますが、残念ながら私には困難があります。Snort ルール フォルダ内のルール ファイル「local.rules」に簡単なルールを作成しました。

alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

このルールは、任意のマシンから任意のマシンへの icmp ping の後にトリガーされます。Snort がこのルールを処理するかどうかを確認したところ、実際にその記録が Snort ログ ファイルに表示されます。

これについて行った検索から、ルール ファイルを変更した後、ルール ファイルをマッピングするために以下のスクリプトを実行する必要があることに気付きました。

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

次に、local_rules.xml ファイルに次の OSSIM ルールを作成しました。

<group name="local,syslog,">
    <rule id="100020" level="2">
      <if_sid>250888</if_sid>
      <description>it's a new rule that i write myself!!</description>
    </rule>
</group>

システムの再起動後、マシンにいくつかの ping を送信しましたが、アラート ログにルールが発生として表示されませんでした。OSSIM システム エラー ログには、次のように表示されます。

2014/08/06 11:30:59 rules_list: Signature ID '250888' not found. Invalid 'if_sid'.

誰かが私が間違っていることを説明できますか?

4

2 に答える 2

0

私は Alienvault OSSIM システムに詳しくありませんが、Snort の観点からは、これはローカル ルールの無効な sid です。ローカル ルールの SID は >= 1,000,000 である必要があります。これらは Snort ディストリビューションに含まれるルール用に予約されているためです (これに関するドキュメントはこちらを参照してください)。おそらく、sid を 1000000 (250888 の部分を保持したい場合は 1250888) に変更してみてください。

于 2014-08-08T01:50:06.293 に答える
0

Snort でルールを作成する場合、ルール local_rules.xml を作成する必要はありません

Snort の local.rules を変更した後

any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

このコマンドを実行します

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

Web インターフェイス > 構成 > 脅威インテリジェンス > データ ソース > データ ソース ID 1001 に移動します。

検索入力で、ルールの sid (250888) を書き込むと、自分がルールであることがわかります

于 2015-05-06T11:39:32.477 に答える