¿Cómo dar sentido y actuar a las Reglas de Snort?

Navega tus respuestas
0

Soy un usuario de Snort relativamente nuevo con años de experiencia en administración de sistemas. Siento que debo faltar algo, porque encuentro que las reglas de Snort son completamente indocumentadas e incomprensibles. Debido a esto, no hay un curso de acción que pueda tomar en función de la alerta de la regla para abordar el problema.

Ejemplo: Mis alertas de Snort incluyen lo siguiente hoy: "SID 2016847: ET INFO Posible instalación del complemento de Chrome"

Bien, a Snort le parece muy importante que me diga que hay una instalación de Chrome Plugin. ¿Eso significa que un complemento existente se instala? ¿O una instalación recién descargada? Quién sabe.

Encuentro el siguiente Wiki en el sitio web de Emerging Threats, que se supone que "documenta" lo que significan las reglas de Snort. Aquí está la entrada para SID 2016847:

enlace

Sorprendentemente, no hay documentación. No es una puntada. Hay una URL incrustada en la regla: enlace

Está bien, genial. Finalmente, alguien está describiendo cuál es la amenaza, dos niveles de direccionamiento indirecto más adelante. Si bien el autor describe algunos de los síntomas del troyano de complemento, no hay una palabra de cómo abordar el problema. ¿Se supone que debo actualizar mi navegador? ¿Cuáles? ¿Qué versiones? ¿Cuál es el nombre de la extensión del mal para purgar? ¿Será suficiente la purga? ¿Necesito reiniciar mi computadora? ¿Debo quemar mi disco duro en un pentagrama en llamas?

Realmente esperaba que Snort fuera útil, y no solo que escupiera toneladas de alertas que no son procesables. Espero que algún experto en seguridad con experiencia aquí pueda informarme sobre la forma correcta de responder a estas alertas. Si su respuesta es "suprima todas las alertas que no entienda", entonces no está respondiendo la pregunta. Debería haber una manera para que cualquier administrador de computadora con un nivel de habilidad razonable lea estas alertas, descubra qué es lo que necesitan verificar o hacer, y resuelva el problema raíz.

    
pregunta taltman 15.06.2015 - 22:35
fuente

2 respuestas

2

Si desea algo que ofrezca asesoramiento orientado a sus necesidades y entorno específicos, entonces una instalación gratuita de Snort o Suricata sin un contrato de soporte de un proveedor establecido o un buen consultor probablemente no sea la mejor solución para sus deseos, aunque puede encajar. tu presupuesto.

En general, comience con los conjuntos de reglas SNORT predeterminados que usa: las reglas de la comunidad y / o Emerging Threats Open o Pro, y / o uno de los conjuntos de reglas SNORT.

Averigüe qué alertas emite ping, a dónde y desde dónde.

  • Es posible que deba habilitar SNORT en una interfaz LAN para obtener una mejor visión de dónde vienen. Alternativamente, asigne un NAT 1: 1 a una o más IP internas sospechosas para que la dirección IP externa sea significativa de alguna manera.
  • ¡Lee las reglas! ¡Sigue los enlaces! ¡Usa tus motores de búsqueda!
  • ¡Aprende!
    • Apenas anoche habilité algunas reglas de Confiker-C que alertan inmediatamente sobre una aplicación que esperaba que fuera buena y que apareció limpia en múltiples análisis antivirus.
  • ¡Experimenta!
    • En su ejemplo, intente una actualización del complemento de Chrome, vea si se alerta. Luego intente una nueva instalación, vea si se alerta.
  • Habilitar o Deshabilitar! El curso más eficaz para eliminar una regla es deshabilitarla.
  • Suprimir!
    • La supresión de reglas para IP específicas permite la combinación de reglas + IP de "listas blancas", lo que es bastante útil.
    • Cada vez que suprima, abra el archivo de supresión y agregue un comentario sobre por qué suprimió la regla en ese caso. Esto será útil más adelante cuando estés evaluando tu lista de supresión y para cualquier otra persona que herede lo que has hecho.

No se supone que las reglas de SNORT te informen sobre lo que debes hacer al respecto; por ejemplo, mi alerta recurrente favorita es "ET POLICY Desactualizada la versión de Windows Flash IE"  - Obviamente, deberías desinstalar Flash completamente!  - ¡Espera, no, deberías actualizar Flash!  - Oye, esto es para una aplicación empresarial de misión crítica en particular que no funciona en la nueva Flash, y debes suprimir la alerta SOLAMENTE para esta dirección IP en particular.

No hay forma de que alguien más pueda conocer tu negocio.

No hay forma de que los redactores de reglas puedan predecir futuros falsos positivos, incluso si tuvieran el tiempo, el presupuesto y la inclinación para buscar falsos positivos en todo el tráfico legítimo posible en primer lugar.

Para resumir, tienes tres opciones principales: Contrate a un experto para que lo haga por usted, aprenda sobre cada tipo de alerta utilizando los datos proporcionados y algunas investigaciones, o deshabilítelo a ciegas.

Si ayuda, la curva de aprendizaje se iguala, hasta que aparece el siguiente problema (SNORT impide que un reproductor Blu-Ray en particular acceda a Netflix porque es vulnerable a POODLE y el fabricante no lo parchó en ese momento o nunca, por instancia), y luego la investigación debería ser más fácil.

    
respondido por el Anti-weakpasswords 16.06.2015 - 01:36
fuente
1

Normalmente, cada regla incluye una referencia al problema. En su caso específico, la regla establece directamente:

reference:url,blogs.technet.com/b/mmpc/archive/2013/05/10/browser-extension-hijacks-facebook-profiles.aspx

Esta línea está directamente en la regla en sí misma y sirve como explicación.

La regla existe para alertarte sobre tráfico sospechoso. Necesitas determinar cuáles son tus riesgos y acciones. Snort no es una herramienta de resolución de problemas de usuario final de bucle de retroalimentación completa; Inspecciona el tráfico y las alertas basadas en firmas. La intención no es que le diga cómo solucionar su problema, solo para alertarlo sobre un problema potencial. Es la luz "revisar motor" en tu tablero. Cuando se enciende, debes iniciar una investigación.

    
respondido por el schroeder 15.06.2015 - 22:57
fuente

Lea otras preguntas en las etiquetas

¿Qué son los hashes que comienzan con $ 1 $ ...? [cerrado] encriptación de iOS 8 vs encriptación de Android Lollipop