КАТЕГОРИИ:

Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Alert_fast

⇐ ПредыдущаяСтр 13 из 22Следующая ⇒

Модуль виводить попередження Snort в одну лінію (швидкий формат) до певного вихідного файлу. Це більш швидкий метод попереджень, ніж повні попередження, тому що не вимагає виведення всіх заголовків пакету у вихідний файл

output alert_fast: alert.fast

Приклад 2.9: Конфігурація швидких попереджень

Формат

alert_fast: < ім’я вихідного файлу>

Alert_full

Плагін видає повідомлення попереджень Snort з повними заголовками пакету. Попередження записуватимуться в директорії реєстрації за умовчанням (C: \snort\log) або в директорії реєстрації визначеної в командному рядку.

В директорії реєстрації буде створена директорія за “ip” адресою. Ці файли є вмістом декодованих пакетів, які ініціювали попередження. Створення цих файлів значно уповільнює Snort. Цей метод висновку не рекомендується для всіх ситуацій окрім ситуації з легким трафіком.

Формат

alert_full: < і’мя файлу виводу>

output alert_full: alert.full

Приклад 2.10 Конфігурація повного попередження

Alert_unixsock

Встановлює сокет домена “unix” і відправляє йому звіти попереджень. Зовнішні програми/процеси можуть прослуховувати цей сокет і одержувати попередження Snort і дані пакету в реальному часі. Зараз цей модуль є експериментальним.

Формат

alert_unixsock

output alert_unixsock

Приклад 2.11: Конфігурація попередження юнікс сокета

Log_tcpdump

Модуль “log_tcpdump” реєструє пакети в tcpdump-форматованому файлі. Це корисно для виконання післяпроцесового аналізу зібраного трафіку з обширним числом інструментів, які доступні для перевірки форматованих файлів “tcpdump”. Цей модуль приймає тільки єдиний аргумент - ім'я файлу виводу. Слід зазначити, що ім'я файлу матиме відмітку часу “unix” в секундах додану до імені файлу. От чому дані з окремих запусків Snort можуть бути чітко збережені.

Формат

log_tcpdump: < ім’я вихідного файла>

output log_tcpdump: snort.log

Приклад 2.12: Конфігурація вихідного модуля tcpdump

База даних

Цей модуль створив Jed Pickel. Плагін відправляє дані Snort в різноманітні бази даних “sql”. Більше інформації щодо установки і конфігурації цього модуля можна знайти на [91] web сторінці “incident.org”. Аргументами цього плагіна є: ім'я бази даних для реєстрації і список параметрів. Параметри встановлюються подібно: параметр = аргумент. В прикладі 2.13 показано використання параметрів.

Формат

database: < log | alert> < вид бази даних> < список параметрів>

Доступні наступні параметри:

Host: хост до якого підключаються. Якщо визначена не нульова довжина рядка, то використовується tcp/ip зв'язок. Без імені хосту він з'єднається, використовуючи локальний сокет домена “unix”.

Port: номер порту, до якого підключається хост сервера, або розширення імені файлу сокета для з'єднань unix-домена.

Dbname: ім'я бази даних

User: ім'я користувача бази даних для ідентифікації

Password: використовування пароля, якщо бази даних вимагають ідентифікацію пароля

sensor_name: визначає власне ім'я для цього датчика Snort. Якщо ім'я не визначено, воно генеруватиметься автоматично

encoding: оскільки корисне навантаження пакету і дані настройок в двійковому форматі, немає простого і переносного способу для їх зберігання в базі даних. “Blobs” не використовуються, тому що вони не переносяться через базу даних. Для цього існує опція кодування. Кожна настройка має власні переваги і недоліки:

hex (значення за умовчанням): зобразить двійкові дані як шістнадцятеричний рядок.

storage requirements: подвоює двійковий розмір

searchability: дуже корисний елемент

human readability: не зручно для читання, вимагає постобробку

base64: представляє двійкові дані як “base64” потік.

storage requirements: збільшує на 1.3x двійковий розмір

searchability: неможливий без постобробоки

human readability: не зручно для читання і вимагає постобробоку

ascii: представляє двійкові дані як “ascii” потік. Це єдина настройка, з якою дійсно відбувається втрата даних. Дані “ascii” представляються, як “.”. Якщо ця опція вибрана, тоді дані для “ip і “tcp” опцій” все ще представлятимуться в шістнадцятеричному вигляді, тому що немає значення представляти їх в “ascii”.

storage requirements: злегка більш ніж двійковий, тому що деякі символи уникають (&, <, >)

searchability: дуже зручно для пошуку неможливого текстового рядка, якщо потрібно шукати двійкові

human readability: дуже корисна опція

detail: об'єм докладних даних які слід зберігати. Настроювальними елементами є:

full (значення за умовчанням): реєструє всі деталі пакету який викликав попередження (включаючи ip/tcp опції і корисне навантаження)

fast: реєструє тільки мінімальну кількість даних. Ця опція строго обмежує потенціал деяких додатків аналізу, але це все ще кращий вибір для деяких додатків. Зареєстровані наступні поля: відмітка часу, підпис, початковий ip, ip місця призначення, початковий порт, порт місця призначення, tcp прапори і протокол.

До того ж слід визначити метод реєстрації і тип бази даних. Існують два типи реєстрації: реєстрація і попередження. Установка типу реєстрації підключає реєструючу функціональність бази даних до засобу реєстрації в межах програми. Якщо встановлений тип реєстрації, плагін буде викликаний на вихідний послідовності реєстрації. Установка типу попередження підключає плагін до вихідної послідовності попереджень в межах програми.

Є два типи баз даних, доступних в поточній версії плагіна. Це “mssql”, “mysql”, “роst-gresql”, “oracle” і “odbc”. Слід встановити тип для відповідності базі даних, яку використовують.

ПРИМІТКА Плагін виводу бази даних не має здатність обробляти попередження, які генеруються за допомогою використання ключового слова-ознаки. Дивитися секцію 3.7.5 для більш детальної інформації.

output database: log, mysql, dbname=snort user=snort host=localhost password=xyz

Приклад 2.13: Конфігурація вихідного плагіна бази даних

Csv

Плагін виводу “csv” дозволяє записувати застережливі дані у форматі, що легко імпортується в базу даних. Плагін вимагає 2 аргументи: повне ім'я і шлях до файлу, опцію вихідного форматування.

Список опцій форматування знаходиться нижче. Якщо опція форматування встановлена за умовчанням, то висновок здійснюється в порядку, в якому вказані опції форматування.

• timestamp

• sig_generator

• sig_id

• sig_rev

• msg

• proto

• src

• srcport

• dst

• dstport

• ethsrc

• ethdst

• ethlen

• tcpflags

• tcpseq

• tcpack

• tcplen

• tcpwindow

• ttl

• tos

• id

• dgmlen

• iplen

• icmptype

• icmpcode

• icmpid

• icmpseq

Формат

output alert_csv: < і’мя файла> < формат>

output alert_csv: C: \snort\var\log\alert.csv default

output alert_csv: C: \snort\log\alert.csv timestamp, msg

Приклад 2.14: Конфігурація вихідної Csv

⇐ Предыдущая 8 9 10 11 121314 15 16 17 Следующая ⇒

Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2025 год. (0.01 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал