Estoy usando SecurityOnion con Snort / PulledPork / Snorby. Recibo varias alertas de "POLÍTICA DE USO DE Pandora" por minuto para la misma fuente y destino. Quiero hacer un umbral de estos para obtener 1 alerta por día por fuente.
La regla original:
alerta tcp $ HOME_NET cualquier - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flujo: establecido, to_server; contenido: "POST"; http_method; contenido: "/ radio / xmlrpc /"; http_uri; contenido: "pandora.com | 0d 0a | "; http_header; umbral: tipo umbral, seguimiento by_src, cuenta 1, segundos 3600; referencia: url, www.pandora.com; classtype: policy-infracción; sid: 2014997; rev: 1;)
He editado modifysid.conf en etc / nsm / pullpork / para incluir esta línea: 2014997 "3600" "43200"
Después de la actualización de la regla, la regla ahora se muestra en etc / nsm / rules / download.conf como:
alerta tcp $ HOME_NET cualquier - > $ EXTERNAL_NET $ HTTP_PORTS (msg: "ET POLICY Pandora Usage"; flujo: establecido, to_server; contenido: "POST"; http_method; contenido: "/ radio / xmlrpc /"; http_uri; contenido: "pandora.com | 0d 0a | "; http_header; umbral: tipo umbral, track by_src, count 1, second ** s 86400; reference: url, www.pandora.com; classtype: policy-infracción; sid: 2014997; rev: 1;)
Esta es incluso la alerta correcta que se envía a Snorby cuando reviso las reglas. Incluso intenté bajar los segundos a un período de 12 horas.
Nada ha funcionado, todavía tengo el mismo número de reglas. ¿Por qué pullpork / snort no usa el umbral en la regla? ¿Qué estoy haciendo mal?
Cualquier ayuda es apreciada, gracias.