Estoy analizando el registro de alertas de Snort y no puedo entender lo que significa [1:1071:6] en
10/12-12:44:28.793118 [**] [1:1071:6] WEB-MISC .htpasswd access [**] [Classification: Web Application Attack] [Priority: 1] {TCP}
O digamos [1:100000160:2] en otro caso.
No pude encontrar lo que eso significa ni en los manuales ni en las reglas.
¿Cómo puedo averiguar en qué formato están las líneas de registro de Snort y qué campos desconocidos representan?
Esos números son una combinación de identificación única y fuente de datos. Cada firma Snort se identifica mediante un SID (ID de firma) y un número de revisión. El SID se utiliza para identificar de forma única esa firma específica y la revisión es el número de edición de esa firma. Entonces, la firma original es rev:1; , luego, si se actualiza, se incrementa a rev:2; y así sucesivamente.
También hay lo que se llama un GID (ID de generador). Los generadores son diferentes rutinas de análisis dentro del proceso de snort. Específicamente, cada preprocesador tiene su propio GID, el sistema de etiquetado tiene un GID y el motor de reglas tiene un GID. El motor de reglas es el subsistema de procesamiento que procesa paquetes contra las firmas encontradas en todos los archivos de reglas diversos.
Ahora, dando un buen uso a todo ese contexto, la cadena [1:1071:6] nos dice que esta alerta fue producida por GID 1 y activada por SID 1071 revisión 6. Ya que tiene un GID de 1, sabemos que esto se puede encontrar en Los archivos de reglas. Normalmente ejecuto este comando para ver una regla específica:
grep 'sid:1071;' /etc/snort/rules/*.rules
Ejecutando eso hoy me da el resultado:
/etc/snort/rules/VRT-server-webapp.rules:# alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-WEBAPP .htpasswd access"; flow:to_server,established; content:".htpasswd"; fast_pattern:only; metadata:ruleset community, service http; classtype:web-application-attack; sid:1071; rev:13;)