Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK icon VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Правила Snort

Snort — самая старая IDS (1998, Мартин Рэш). Формат правил также поддерживает Suricata.

Правило Snort описывает вредоносную активность на сетевом уровне.

Далее приведено правило для выявления активности бэкдора Dagger:

Правило состоит из четырех частей:
— первая строка описывает действие (alert), согласно которому сгенерируется уведомление в случае нахождения соответствий правилу. Другие действия могут журналировать активность или полностью аннулировать соединение;
— вторая строка описывает сетевой протокол (tcp) и параметр соединения. Для того чтобы соответствовать этому правилу, соединение должно исходить из домашней сети во внешнюю (в большинстве случаев в Интернет), а также иметь порт-источник 2589 и порт назначения.
— дополнительные возможности для правила: сообщение msg, которое можно добавить в уведомление alert, журнал, запускаемый правилом, а также информацию, которая поможет организовать и классифицировать правила (metadata, classtype, sid и rev);
— параметры, используемые для нахождения соединений, активность которых соответствует поведению бэкдора Dagger: flow описывает то, к какой части цепи соединения применяется правило (здесь оно используется, начиная с ответов сервера до клиента), content содержит бинарные и ASCII-строки, которые будут применяться для выявления вредоносных пакетов с помощью нахождения соответствий в полезной нагрузке пакета, depth устанавливает ограничение на то, насколько глубоко правило должно погружаться ради поиска соответствий (здесь поиск ограничен первыми 16 байтами в каждой полезной нагрузке).

Источники литературы:

  1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
Подписаться на блог
Поделиться
Отправить
Запинить
 16   17 дн   Infosec   Security   SIEM
Популярное