8. 从警报中了解情况¶
当警报发生时,弄清楚它的含义很重要。严重吗?相关的?假阳性?
要了解更多有关触发规则的信息,查看实际规则始终是一个好主意。
规则中首先要查看的是 msg
关键字。让我们考虑一个例子:
msg:"ET SCAN sipscan probe";
“ET”表示规则来自新兴威胁(Proofpoint)项目。”“扫描”表示规则的目的是匹配某种形式的扫描。之后,给出了或多或少的详细描述。
大多数规则都包含一些指向“reference”关键字形式的更多信息的指针。
考虑下面的示例规则:::
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS \
(msg:"ET CURRENT_EVENTS Adobe 0day Shovelware"; \
flow:established,to_server; content:"GET "; nocase; depth:4; \
content:!"|0d 0a|Referer\:"; nocase; \
uricontent:"/ppp/listdir.php?dir="; \
pcre:"/\/[a-z]{2}\/[a-z]{4}01\/ppp\/listdir\.php\?dir=/U"; \
classtype:trojan-activity; \
reference:url,isc.sans.org/diary.html?storyid=7747; \
reference:url,doc.emergingthreats.net/2010496; \
reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe; \
sid:2010496; rev:2;)
在此规则中,reference关键字指示要访问的3个URL以获取更多信息:::
isc.sans.org/diary.html?storyid=7747
doc.emergingthreats.net/2010496
www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe
某些规则包含引用,如: "reference:cve,2009-3958;"
应该可以让你用你最喜欢的搜索引擎找到关于特定CVE的信息。
这并不总是直截了当的,有时并不是所有的信息都是公开的。通常在签名支持频道上询问这一点会很有帮助。
在 使用Suricata更新进行规则管理 可以找到有关规则源及其文档和支持方法的更多信息。
在许多情况下,仅仅查看警报和触发警报的数据包还不足以得出结论。使用默认的EVE设置时,将向警报添加大量元数据。
例如,如果触发的规则指示web应用程序受到攻击,则查看元数据可能会发现web应用程序使用 404 not found
. 这通常意味着攻击失败,但并不总是如此。
并非所有协议都会导致元数据生成,因此在运行像Suricata这样的IDS引擎时,通常建议将其与完整数据包捕获结合起来。使用evebox、sguil或snorby等工具,可以检查完整的TCP会话或UDP流。
显然,对发病率的反应还有很多,但这应该会让你开始。