El razonamiento es qué sucede si una empresa supervisa las alertas de snort más que, por ejemplo, syslog. ¿Hay alguna alerta predefinida específica para 'la aplicación del lado del cliente dice que algo sospechoso está pasando'?
El razonamiento es qué sucede si una empresa supervisa las alertas de snort más que, por ejemplo, syslog. ¿Hay alguna alerta predefinida específica para 'la aplicación del lado del cliente dice que algo sospechoso está pasando'?
Snort analiza la actividad de la red, por lo que tendría que ser algo que la aplicación del lado del cliente envía a través de la red. En ese momento, tendrá que mirar los mensajes que envía el cliente, que Snort podría captar. Predefinido? No, hay demasiadas aplicaciones del lado del cliente para capturarlas todas.
Plantilla de regla de Snort:
alertar tcp cualquiera cualquiera - > cualquier 80 (msg: "Cliente insatisfecho"; contenido: "Texto infeliz del cliente"; nocase;)
Esta regla es bastante básica, pero es el lugar para comenzar. Para reducir los falsos positivos, también querrá ver los puertos que el cliente y el servidor utilizan para comunicar mensajes y refinar sus reglas para mirar allí.
Aquí es una guía SANS sobre cómo mirar para ciertos textos, y refinamientos.
Lea otras preguntas en las etiquetas network incident-response ids snort