Preguntas con etiqueta 'snort'

2
respuestas

No puedo entender la sintaxis de la opción pcre de la regla SNORT "? P = nombre"

Al tratar de entender algunas líneas de reglas SNORT, encontré la siguiente sintaxis que no podía entender. No se pudo encontrar ninguna descripción en el manual (aunque hay que reconocer que todavía no lo he leído completamente). Dos ejemplo...
hecha 09.06.2014 - 13:00
2
respuestas

¿Cómo dar sentido y actuar a las Reglas de Snort?

Soy un usuario de Snort relativamente nuevo con años de experiencia en administración de sistemas. Siento que debo faltar algo, porque encuentro que las reglas de Snort son completamente indocumentadas e incomprensibles. Debido a esto, no hay un...
hecha 15.06.2015 - 22:35
1
respuesta

Analizando el registro de Apache con Snort

Necesito analizar un registro de Apache con Snort y otros IDS / WAFs (Suricata, mod_security y Shadow Daemon). Para hacerlo, estaba pensando en crear paquetes TCP con las solicitudes GET y POST almacenadas en el registro de Apache con Scapy en P...
hecha 04.09.2018 - 17:56
1
respuesta

Snort Alert - ¿Qué es PROTO: 255?

La salida de alerta de Mi Snort es como abajo. El primer elemento de la 4ª fila de cada alerta indica Protocolo. Sin embargo, en la alerta (portscan) TCP Portscan , el protocolo es PROTO: 255 . Qué significa eso? ¿Por qué Portscan usa PRO...
hecha 14.06.2017 - 17:54
1
respuesta

¿Qué significa esta regla de bufido?

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"MALWARE-BACKDOOR access remote pc runtime detection - init connection"; flow:to_server,established; content:"|99 F3 00 00 00 00 00 00 FF FF FF FF|"; depth:12; flowbits:set,AccessRemotePC_d...
hecha 01.11.2015 - 15:40
1
respuesta

Usando OpenAppID sin Snort [cerrado]

Cisco Security introdujo un mecanismo de control y detección de aplicaciones de código abierto que llamó "OpenAppID". Lo que se puede consultar en enlace Digamos que tengo una aplicación de rastreo para mí mismo; si implemento lua base bind...
hecha 02.01.2015 - 13:16
1
respuesta

IDS tasas de falsos positivos

¿Existen estándares aceptados por la industria para las tasas de falsos positivos para un IDS de red basado en Snort? ¿Hay alguna forma de verificar las tasas de falsos positivos en un IDS implementado? (Lo ideal sería sin mirar cada registro de...
hecha 14.01.2014 - 01:56
1
respuesta

Manejar las reglas de snort de forma remota [cerrado]

Tengo varios sensores de snort en mi red y me gustaría manejar las reglas de cada uno de forma remota. ¿Hay algún software que haga eso? gracias de antemano     
hecha 13.12.2013 - 17:51
1
respuesta

¿Cómo especificar una duración de conexión de la regla Snort?

¿Es incluso posible especificar en una regla de snort la duración de una conexión? Por ejemplo: en este formato, hora, minuto, segundo H, M, S = 0, 2, 1 Si una conexión tiene una duración de 2 minutos y 1 segundo, entonces alerta. O...
hecha 25.04.2013 - 20:12
1
respuesta

Rango de prioridad de Snort

¿Cuál es el rango de valores para el parámetro 'prioridad' en una regla de Snort? La documentación no lo aclara:    La etiqueta de prioridad asigna un nivel de gravedad a las reglas. Una regla classtype asigna una prioridad predeterminada (de...
hecha 02.01.2018 - 14:39