0
Ich frage über SuricataSuricata bedingte Warnungen
Gibt es Möglichkeit, einen bedingten Alarm zu schreiben?
Zum Beispiel - Alarm von HTTP GET, wenn der Server-Status auf die Anforderung ist „Erfolg“
Danke, Efrat
A
Antwort
0
Alle Warnungen sind bedingt, da sie durch die Bedingungen in der Regel ausgelöst werden.
Eine Regel auf der Statusmeldung in http übereinstimmen etwas aussehen würde:
Alarm http any any -> any any (Inhalt: "Erfolg"; http_stat_msg; sid: 12345;)
Siehe https://redmine.openinfosecfoundation.org/projects/suricata/wiki/HTTP-keywords#http_stat_msg
0
Sie, dass zur Verfügung gestellt tun können Sie Ihre Regel Dateinamen in suricata.yaml Datei aktualisieren. Der einfachste Weg zu tun ist, zu tun ist:
- erstellen custom.rule Datei mit benutzerdefinierten Benachrichtigungen
- customer.rule in die Liste der Regeln hinzufügen.
tun, um eine Live-Reload (Kill--USR2) oder
start :suricata -c /etc/suricata/suricata.yaml -i <interface>- wenn Sie den Verkehr senden, müssen Sie in der Lage sein werden Warnungen in fast.log