問題タブ [intrusion-detection]

私は vmware プレーヤーに suricata をインストールしようとしています。

私はエラーが発生します

- [エラーコード: SC_ERR_CONF_YAML_ERROR(240)] - 構成行 382 の解析に失敗しました: 期待されるキーが見つかりませんでした

任意の助けをいただければ幸いです

私は現在、「snort IDS のネットワーク侵入検知のルールを作成する」というプロジェクトに取り組んでいます。Snort IDS は、ルールにネットワーク パケット ヘッダー属性 (ttl、ip など) を使用します。現在、ルール作成部分に KDD 1999 データセットを使用しています。しかし、KDD 属性を tcp ヘッダー属性にマップするのは難しいと感じています。Snort のルールを作成するために使用できる新しいデータセットはありますか?

私のログの一部:

Info1: 複数攻撃 Activity_ID: 0 activity_Name: name_activity

私のデコーダー（未完成）

ルールでは、たとえば別のextra_dataで検索したい。
エクストラデータ1の場合^攻撃エクストラデータ2の場合
^複数エクストラデータ3の
場合^名前

複数のextra_dataに正規表現を適用することは可能ですか? ありがとう

ネットワーク全体を監視するために、自分のマシン (opensuse 13.1) から Snort IDS をセットアップしようとしています。Snort を実行すると、すべてのパケットを盗聴し、ネットワーク上のすべてのコンピューターを監視していますが、自分のマシンのアラートしか得られません。アラート ファイルですべての IP について警告してもらいたいです。また、HOME_NET に特定の IP アドレスを含めてみましたが、opensuse マシンについてのみ警告が表示されます。

私のsnort.conf: HOME_NET 192.168.1.0/24

EXTERNAL_NET !$HOME_NET

出力 alert_fast: /var/log/snort/fast_alert.txt

1 つの snort.rules ファイルに pullpork を使用しています。

Snort を次のように実行します: snort -d -c /etc/snort/snort.conf -vv

また、ネットワークデバイスのオプションとして eth0 を持っていないことも重要な情報かもしれません。

ネットワーク上のすべてのマシン/IP について Snort に警告させるにはどうすればよいですか?

私はプルポークを使用して毎日ルールを取得しています。これらのルールをテストして、すべてが機能していることを確認したいと考えています。最新で機能しているものはありますか？rules2alert があることは知っていますが、かなり未完成で、しばらく触れられていません。pullpork ルールで実行すると、多くのエラーが発生します。

OSSECルールごとにalert_by_email-optionを抑制/無視しようとしています。ドキュメントは次のことを示唆しています。

「一部のルールには、OSSEC にアラート メールを送信するよう強制するオプションが設定されています。このオプションは alert_by_email です。これらのルールの 1 つが 1002 です。これらのルールを無視するには、明確に無視するルールを作成するか、ルールを上書きせずにルールを上書きする必要があります。 alert_by_email オプション。」

ただし、オプションを無視する単一のロールを作成する例は見つかりませんでした。皆さんが私を助けてくれることを願っています。