¿Cómo usar snort con local.rules en modo desconectado?

Navega tus respuestas
3

Estoy usando la distribución SecurityOnion y ejecutaría snort en mis archivos pcap. ¿Hay una manera de especificar una sola regla? No pude entender si se usa local.rules .

¿Cómo puedo mostrar solo el resultado de mis reglas en lugar de la salida estándar?

    
pregunta CDominik 13.08.2015 - 14:30
fuente

1 respuesta

1

¿Está intentando que Snort muestre solo el resultado de sus propias reglas personalizadas creadas en las reglas locales?

¿Por qué no crear uno como un ejemplo a continuación en las reglas locales, mover todas las demás reglas existentes a otro lugar dejando solo las reglas locales para las pruebas? De esa manera, solo se verificarán tus reglas locales.

alerta tcp cualquiera cualquiera - > any any (msg: "Testing TCP"; sid: 10002)

Cuando ejecute Snort en modo IDS, se mostrará debajo de las alertas siempre que haya tráfico TCP.

Espero que esto ayude.

    
respondido por el Eric.P 11.02.2016 - 06:52
fuente

Lea otras preguntas en las etiquetas

¿Es peligroso tener habilitada la cuenta de administrador integrada? ¿Es posible forzar bruscamente un bloqueo del lector de tarjetas? [cerrado]