我能够发送Snort警报到我的远程系统日志服务器,但我无法看到完整的警报消息; 我只看到标题,来源和目标IP等基本信息。 我特别感兴趣的是接收XREF(CVE,bugtraq等)字段。
我正在启动syslog as-
snort -c /etc/snort/snort.conf 有没有人能够做到这一点?
你很可能看到你能看到的一切。 Snort的运行非常像反病毒应用程序。 您提供了一个表示不良的签名列表(规则文件),并且每当Snort看到与所述签名相匹配的stream量模式时,就会引发警报。 您为每个警报收到的信息由规则作者configuration。 例如,让我们看看下面的警报
[1:2013497:2] ET TROJAN MS Terminal Server User A Login, possible Morto inbound [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.15.253.22:3254 -> 192.168.100.15:3389
对,所以我们知道
现在,让我们看看触发这个的实际规则。
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"ET TROJAN MS Terminal Server User A Login, possible Morto inbound"; flow:to_server,established; content:"|03 00 00|"; depth:3; content:"|e0 00 00 00 00 00|"; offset:5; depth:6; content:"Cookie|3a| mstshash=a|0d 0a|"; nocase; reference:cve,CAN-2001-0540; classtype:protocol-command-decode; sid:2013497; rev:2;)
我们可以看到,我们得到提醒的描述文本是在味精领域。 这实际上只是一个自由文本字段,规则作者使用它来让我们知道发生了什么。 系统logging警报时,Snort应用程序仅logging此信息。 也就是说,你不会得到任何其他的东西。 现在,我认为你以后是参考,CAN-2001-0540。
你需要看的是一些使用Snort的附加程序。 其中有一些已经存在多年。 我想到的两个项目是Snorby和BASE 。 设置其中一个将增加您的环境的复杂性,但它可能是值得的。