Änderung der Suricata-Oinkcode-Regel

403
Chris Bo

Ich habe ein IDS-Netzwerk bei der Arbeit und ich habe in suricata variables file (vars.yaml) eingerichtet:

  • $ HOME_NET-Netzwerk: Interne Server- und Workstation-Subnetze
  • $ EXTERNAL_NET-Netzwerk: alles, was nicht als $ home definiert ist (! $ Home)

Ich habe Oinkcode ET Pro-Regeln.

Meine Frage ist:

Wie kann ich sicherstellen, dass IDS auch interne Angriffe von $ HOME_NET -> $ HOME_NET-Subnetzen erfasst? Malware Emerging Threat-Regeln haben das Format:

alert tcp $HOME_NET any -> $EXTERNAL_NET 20000 (msg:"ET MALWARE Realtimegaming.com Online Casino Spyware Gaming Checkin"; flow:established,to_server; dsize:<30; content:"|43 01 00|"; depth:4; content:"Casino"; nocase; reference:url,doc.emergingthreats.net/bin/view/Main/2008402; classtype:trojan-activity; sid:2008402; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

Es wird also davon ausgegangen, dass der mit $ HOME_NET infizierte PC mit $ EXTERNAL_NET (CNC-Kommunikation) "spricht".

Was ist die beste Methode, um Hausangriffe auch gefangen zu nehmen?

1) Ändern der Regel in 

alert tcp $HOME_NET any -> $HOME_NET

wird zu viel Unordnung verursachen?

2) Eine Kopie der Regel hinzufügen, aber mit $ HOME_NET any -> $ HOME_NET any ist eine bessere Idee?

3) Hinzufügen einer zweiten IDS-Instanz von Suricata?

Danke im Voraus.

Chris

0

0 Antworten auf die Frage

Verwandte Probleme