Rango de prioridad de Snort

Navega tus respuestas
0

¿Cuál es el rango de valores para el parámetro 'prioridad' en una regla de Snort? La documentación no lo aclara:

  

La etiqueta de prioridad asigna un nivel de gravedad a las reglas. Una regla classtype asigna una prioridad predeterminada (definida por la opción de clasificación de configuración) que puede ser anulada con una regla de prioridad. A continuación se dan ejemplos de cada caso.

     

Formato

     

prioridad: < prioridad entero & gt ;;

     

Ejemplos

     

alertar tcp cualquiera cualquiera - > cualquier 80 (msg: "WEB-MISC phf intent"; banderas: A +; \   contenido: "/ cgi-bin / phf"; prioridad: 10;)

     

alertar tcp cualquiera cualquiera - > cualquier 80 (msg: "EXPLOIT ntpdx overflow"; \   dsize: > 128; classtype: intento de administración; prioridad: 10);

    
pregunta Astrophe 02.01.2018 - 14:39
fuente

1 respuesta

1

La respuesta corta:

Lo que tu corazón desee. Solo probé hasta priority:1000000; y funciona bien.

Lo que dice el manual:

Lo siguiente se colocó en §3.4.6 - classtype , la sección que precede inmediatamente a prioridad :

  

Las clasificaciones de ataque definidas por Snort residen en el archivo classification.config . El archivo utiliza la siguiente sintaxis:

     

config classification: <class name>,<class description>,<default priority>

     

Estas clasificaciones de ataque se enumeran en la Tabla 3.2. Actualmente están ordenados con 4 prioridades predeterminadas. Una prioridad de 1   (alto) es el más grave y 4 (muy bajo) es el menos grave .

¡Espero que esto responda a tu pregunta!

    
respondido por el Damian T. 03.01.2018 - 21:01
fuente

Lea otras preguntas en las etiquetas

¿Por qué arp devuelve el estado inicial después de que arpspoof se detuvo? ¿Rastreo del correo electrónico enviado desde el servicio?