Snort-E-Mail-Regel, um auf E-Mails von bestimmten Benutzern hinzuweisen

2272
ThatGuy

Ich bin neu in Snort-Regeln und brauche eine Regel, die alle E-Mails eines bestimmten Benutzers benachrichtigt. Zum Beispiel:

alert tcp any any -> any 25 (msg:"Target Email Detected"; content:"email@thatemail.com"; fast_pattern:only; nocase; classtype: Target Email Detected ;sid:12345 ;)

Diese Regel wird ab jetzt aufschnüffeln, wenn sie im Inhalt enthalten ist, aber E-Mails aus der obigen E-Mail werden nicht benachrichtigt.

1

1 Antwort auf die Frage

0
Tim Brigham

Ihre Regel sieht zum größten Teil gut aus. Ich glaube, das Problem hat mit Ihrem Sid-Mapping / Classtype zu tun. Wenn Sie einen neuen Classtype definieren, müssen Sie weitere Konfigurationsoptionen festlegen. In diesem Fall ist es viel einfacher, vorhandene Elemente zu recyceln. Ich würde vorschlagen, eine Art von Richtlinienverletzung zu verwenden.

RE: Comment Das Inhaltsfeld durchsucht den gesamten Paketkörper, den es sieht. Es sollte kein PCRE-Problem sein. Vielleicht möchten Sie den Stream zusammenstellen. Möglicherweise wird die Zeichenfolge, nach der Sie suchen, zwischen Paketen unterbrochen. Versuchen Sie, Wireshark zu starten und die genauen Pakete zu erfassen, die Sie möchten.

Ich habe den benutzerdefinierten Classtype erstellt und er funktioniert in Ordnung. Ich habe das Gefühl, dass er nicht die richtigen Header für die Mail-Header enthält oder etwas. Wäre eine PCS erforderlich? ThatGuy vor 13 Jahren 0

Verwandte Probleme