Supongamos que no he escrito una regla para un tipo de ataque en SNORT; Es obvio que no mostrará ninguna alerta. ¡Quiero desarrollar un sistema en el que capturo paquetes que SNORT permite y no haga más procesamiento en esos paquetes para detectar si pertenecían a un ataque o no!
Entonces, ¿cómo puedo registrar los paquetes que snort considera genuinos si no hay reglas escritas para eso?
Te estás acercando a esto de manera incorrecta. Un enfoque mucho mejor es usar un motor de captura como Daemonlogger y luego procesar los datos casi en tiempo real.
El motivo es que, por más maravilloso que sea Snort, cuanto más agregue el conjunto de reglas, más lento funcionará. No me malinterpretes, es muy bueno, pero esta no es una forma ideal de configurarlo. Si está tratando con enlaces de alta velocidad bien utilizados, Snort puede comenzar a soltar paquetes.
Marty Roesch, creado de Snort, escribió Daemonlogger para resolver exactamente este problema. Daemonlogger se usa para la captura rápida de paquetes completos, que luego se analiza mediante una o más instancias de Snort (u otras herramientas como SANCP, Silk, etc.)
En lugar de empezar de cero, te sugiero que busques en SecurityOnion, que tiene todas estas cosas ya instaladas y listas para usar, o en NSMWiki.org, que tiene una gran información general y mucha información específica sobre Sguil , que es una excelente arquitectura e interfaz de NSM.