¿Cómo puedo modificar la alerta de salida de sfportscan?
Ej: output alert_csv: /var/log/snort/portscan.log timestamp,src,dst,dstport,msg
OBS: ¿Puedo configurar la salida para el archivo de alerta predeterminado con este método?
¿Cómo puedo modificar la alerta de salida de sfportscan?
Ej: output alert_csv: /var/log/snort/portscan.log timestamp,src,dst,dstport,msg
OBS: ¿Puedo configurar la salida para el archivo de alerta predeterminado con este método?
Desarrolle una secuencia de comandos para filtrar el registro sfportscan e integrarlo con OSSEC
SNORT (sfportscan) - > portscan.log < filter.py > portscan-filter.log < OSSEC Regex >
#!/usr/bin/python
a = ""
f = open("/var/log/snort/portscan.log","r")
s = open("/var/log/snort/portscan-filter.log","w")
while 1:
where = f.tell()
line = f.readline()
s.seek(where)
if line[:4] == "Time": a = line
elif "(portscan)" in line:
a = a.replace("\n","")
line = line.replace("\n","")
ray = ','.join([a,line])
print (ray)
s.write(ray+"\n")
a = ""
else:
pass
f.close()
Salida: Time: 01/02-12:34:56.006648 ,10.147.160.122 -> 177.124.192.123 (portscan) TCP Filtered Portscan
E hice este Regex para integrarlo con descodificar regla OSSEC: (\S+) ,(\d+.\d+.\d+.\d+) -> (\d+.\d+.\d+.\d+) (\(\w+\) .+)