8. 从警报中了解情况

当警报发生时,弄清楚它的含义很重要。严重吗?相关的?假阳性?

要了解更多有关触发规则的信息,查看实际规则始终是一个好主意。

规则中首先要查看的是 msg 关键字。让我们考虑一个例子:

msg:"ET SCAN sipscan probe";

“ET”表示规则来自新兴威胁(Proofpoint)项目。”“扫描”表示规则的目的是匹配某种形式的扫描。之后,给出了或多或少的详细描述。

大多数规则都包含一些指向“reference”关键字形式的更多信息的指针。

考虑下面的示例规则:::

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS \
  (msg:"ET CURRENT_EVENTS Adobe 0day Shovelware"; \
  flow:established,to_server; content:"GET "; nocase; depth:4; \
  content:!"|0d 0a|Referer\:"; nocase; \
  uricontent:"/ppp/listdir.php?dir="; \
  pcre:"/\/[a-z]{2}\/[a-z]{4}01\/ppp\/listdir\.php\?dir=/U"; \
  classtype:trojan-activity; \
  reference:url,isc.sans.org/diary.html?storyid=7747; \
  reference:url,doc.emergingthreats.net/2010496; \
  reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe; \
  sid:2010496; rev:2;)

在此规则中,reference关键字指示要访问的3个URL以获取更多信息:::

isc.sans.org/diary.html?storyid=7747
doc.emergingthreats.net/2010496
www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_Adobe

某些规则包含引用,如: "reference:cve,2009-3958;" 应该可以让你用你最喜欢的搜索引擎找到关于特定CVE的信息。

这并不总是直截了当的,有时并不是所有的信息都是公开的。通常在签名支持频道上询问这一点会很有帮助。

使用Suricata更新进行规则管理 可以找到有关规则源及其文档和支持方法的更多信息。

在许多情况下,仅仅查看警报和触发警报的数据包还不足以得出结论。使用默认的EVE设置时,将向警报添加大量元数据。

例如,如果触发的规则指示web应用程序受到攻击,则查看元数据可能会发现web应用程序使用 404 not found . 这通常意味着攻击失败,但并不总是如此。

并非所有协议都会导致元数据生成,因此在运行像Suricata这样的IDS引擎时,通常建议将其与完整数据包捕获结合起来。使用evebox、sguil或snorby等工具,可以检查完整的TCP会话或UDP流。

显然,对发病率的反应还有很多,但这应该会让你开始。