I denne opplæringen vil snortvarselmodus bli forklart for å instruere Snort til å rapportere om hendelser på 5 forskjellige måter (ignorerer "ingen varsel" -modus), rask, full, konsoll, cmg og unsock.
Hvis du ikke har lest artiklene nevnt ovenfor, og du ikke har tidligere erfaring med fnys, kan du komme i gang med opplæringen om snortinstallasjon og bruk og fortsette med artikkelen om regler før du fortsetter denne forelesningen. Denne opplæringen forutsetter at du allerede har Snort.
For å være la oss si at Snort har 6 varslingsmodi:
Rask: i denne modusen vil Snort rapportere tidsstempel, varselmelding, IP-kildeadresse og port og IP-adresse og port. (-En rask)
Full: I tillegg til hurtigmodusvarslingen inkluderer fullmodus: TTL, IP-pakke og IP-topplengde, tjeneste, ICMP-type og sekvensnummer. (-En full)
Konsoll: skriver ut raske varsler i konsollen. (-En konsoll)
Cmg: Dette formatet ble utviklet av Snort for testformål, det skriver ut et fullstendig varsel på konsollen uten å lagre rapporter i logger. (-En cmg)
Sokkel: eksporter rapport til andre programmer gjennom Unix Socket. (-En usokk)
Ingen: Snort genererer ikke varsler. (-En ingen)
Alle varslingsmodi innledes med a -EN som er parameteren for varsler. Varsler lagres i loggen / var / logg / fnyse / varsel. Standardregler for fnys er i stand til å oppdage uregelmessig aktivitet som portskanning. La oss teste hver varslingsmodus:
Rask varslingstest:
fnyser -c / etc / fnyser / fnyser.conf -q -A raskt
Hvor:
fnuse= kaller programmet
-c= sti til konfigurasjonsfil, i dette tilfellet standard (/ etc / snort / snort.conf)
-q= forhindrer fnysel fra å vise innledende informasjon
-EN= definerer varselmodus, i dette tilfellet raskt.
Mens jeg fra en annen datamaskin startet en nmap-skanning mot topp 1000 porter varsler begynte å bli logget på / var / logg / fnyse / varsel.
Full alarmtest:
fnyser -c / etc / fnyser / fnyser.conf -q -A full
Hvor:
fnuse= kaller programmet
-c= sti til konfigurasjonsfil, i dette tilfellet standard (/ etc / snort / snort.conf)
-q= hindrer fnysel fra å vise innledende informasjon
-EN= definerer varselmodus, i dette tilfellet full.
Som du ser gir rapporten ytterligere informasjon til den raske.
Konsollvarseltest:
Med konsollvarseltesten får vi utskrifter i konsollen for denne løpeturen
fnyser -c / etc / fnyser / fnyser.conf -q -A konsoll
Hvor:
fnuse= kaller programmet
-c= sti til konfigurasjonsfil, i dette tilfellet standard (/ etc / snort / snort.conf)
-q= hindrer fnysel fra å vise innledende informasjon
-EN= definerer varselmodus, i dette tilfellet konsoll.
Som du ser er den trykte informasjonen nærmere en rask varsling enn en fullstendig.
Cmg varsel test:
La oss nå få en rapport i konsollen med informasjon om en full rapport og mer. Denne modusen ble utviklet for testformål og logger ikke resultatene.
fnyser -c / etc / fnyser / fnyser.conf -q -A cmg
Hvor:
fnuse= kaller programmet
-c= sti til konfigurasjonsfil, i dette tilfellet standard (/ etc / snort / snort.conf)
-q= hindrer fnysel fra å vise innledende informasjon
-EN= definerer varselmodus, i dette tilfellet cmg.
For at usok-varselet skal fungere, må du integrere det i et tredjepartsprogram eller plugin.
Snorts standard varselmodus er fullmodus. Hvis du ikke trenger tilleggsinformasjon fra en rask, vil en rask modus øke ytelsen.
Jeg håper denne opplæringen bidro til å forstå Snorts varslingsmodi.