Tengo un archivo de registro de snort en formato unificado2 y puedo ver la salida usando la utilidad u2spewfoo.
Creo que entiendo que la identificación del generador, la identificación de la firma y la revisión me dicen por qué se generó la alerta, pero no estoy seguro de cómo darles sentido.
Por ejemplo, tengo (sin paquete de datos):
(Event)
sensor id: 0 event id: 3 event second: 1516750250 event microsecond: 585397
sig id: 527 gen id: 1 revision: 8 classification: 3
priority: 2 ip source: 0.0.0.0 ip destination: 255.255.255.255
src port: 68 dest port: 67 protocol: 17 impact_flag: 0 blocked: 0
mpls label: 0 vland id: 0 policy id: 0
Creo que lo que necesito está en la tercera línea (sig id :). ¿Qué me dice esto y cómo lo asigno a la regla que generó el evento?
Si ayuda, tengo una instalación de Debian de vainilla con solo los paquetes snort y snort-rules-default instalados. La alerta anterior se generó al procesar un archivo pcap que tenía hace unos meses con el comando:
snort -c /etc/snort/snort.conf -S HOME_NET=[192.168.1.0/24] -r daemonlogger.pcap.1516xxxxxx
Esto descargó varias alertas a /var/log/snort/snort.log, que luego analicé con la utilidad u2spewfoo.