Acabo de empezar a usar Snort. Hay mucho por hacer. Solo estoy buscando una mejor documentación de lo que realmente significan algunas de las reglas de Snort, es decir, cómo debo reaccionar ante ellas cuando aparece una alerta para una determinada regla emergente. Parece que los documentos, ejemplos y foros de Snort suponen una gran cantidad de conocimientos previos de administradores de seguridad de redes esotéricos que aparentemente no tengo (aún).
Por ejemplo, encontré esto:
Sin embargo, esa sección del sitio web de Snort está lamentablemente desactualizada y la parte de búsqueda no funciona, y aparece la ventana 404 cuando ingreso manualmente muchos de los identificadores de reglas en los que estoy interesado.
Ejemplo, para el preprocesador stream5:
El segundo, "129: 12", tiene una descripción de texto de "Segmentos pequeños TCP consecutivos que exceden el umbral". ¿Y eso que significa? ¿De qué manera es eso indicativo de un problema? Examiné nuestra red, y solo hay actividad de red aceptable (que podría decir). Durante un evento en el que Snort fue muy detallado sobre este problema en particular (en el orden de 100 mensajes por minuto), el problema se debió al tráfico autorizado que pasa a través de nuestro proxy de calamar.
Entonces, ¿qué debería suprimir todos estos mensajes? ¿Es esa una forma normal de sintonizar Snort? ¿Solo suprimir el ruido? Eso me parece una locura ... Si reprimo todos estos mensajes, ¿qué sucede si hay mensajes de esta clase que realmente indican un problema?
Espero que se te ocurra.
Actualmente estoy utilizando pullpork para ensamblar conjuntos de reglas y suprimir reglas ruidosas mediante directivas de supresión en threshold.conf.
Por último, debo mencionar que estoy ejecutando Snort de una manera bastante poco convencional, como una solución para satisfacer los requisitos de IDS para PCI, mientras se ejecuta en la nube de AWS. En pocas palabras, tenemos a Snort corriendo en todas las casillas que clasificamos como casillas de "borde", y estamos olfateando el tráfico en ellas. Proporcionaré más detalles si así lo solicita, pero eso no cambia la esencia básica de esta pregunta.