I denna handledning kommer Snort alert-lägen att förklaras för att instruera Snort att rapportera över incidenter på 5 olika sätt (ignorerar "no alert" -läget), snabb, full, konsol, cmg och unsock.
Om du inte har läst artiklarna som nämnts ovan och du inte har tidigare erfarenhet av snark, kom igång med handledningen om snortinstallation och användning och fortsätt med artikeln om regler innan du fortsätter denna föreläsning. Denna handledning förutsätter att du redan har Snort.
För att vara låt oss säga har Snort 6 varningslägen:
Snabb: i det här läget rapporterar Snort tidstämpel, varningsmeddelande, IP-källadress och port och destinations-IP-adress och port. (-En snabb)
Full: Utöver snabblägesvarningen inkluderar hela läget: TTL, IP-paket och IP-rubriklängd, tjänst, ICMP-typ och sekvensnummer. (-En full)
Trösta: skriver ut snabbvarningar i konsolen. (-En konsol)
Cmg: Detta format utvecklades av Snort för teständamål, det skriver ut en fullständig varning på konsolen utan att spara rapporter i loggar. (-A cmg)
Avstängning: exportera rapport till andra program via Unix Socket. (-En osock)
Ingen: Snort genererar inte varningar. (-En ingen)
Alla varningslägen föregås av a -A vilket är parametern för varningar. Varningar sparas i loggen / var / log / snort / alert. Snortens standardregler kan upptäcka oregelbunden aktivitet som portavsökning. Låt oss testa varje varningsläge:
Snabbt varningstest:
fnysa -c / etc / fnysa / fnysa.conf -q -A snabbt
Var:
fnysa= ringer programmet
-c= sökväg till konfigurationsfil, i det här fallet standard (/ etc / snort / snort.conf)
-q= hindrar snark från att visa initial information
-A= definierar varningsläget, i detta fall snabbt.
Medan jag från en annan dator startade en nmap-scanning mot topp 1000-portvarningar började jag bli inloggad / var / log / snort / alert.
Fullt varningstest:
fnysa -c / etc / fnysa / fnysa.conf -q -A full
Var:
fnysa= ringer programmet
-c= sökväg till konfigurationsfil, i det här fallet standard (/ etc / snort / snort.conf)
-q= hindrar snark från att visa initial information
-A= definierar varningsläget, i detta fall fullt.
Som du ser ger rapporten ytterligare information till den snabba.
Konsolvarningstest:
Med konsolvarningstestet får vi varningar skrivna ut i konsolen för den här körningen
fnysa -c / etc / fnysa / fnysa.conf -q -A-konsol
Var:
fnysa= ringer programmet
-c= sökväg till konfigurationsfil, i det här fallet standard (/ etc / snort / snort.conf)
-q= hindrar snark från att visa initial information
-A= definierar varningsläget, i detta fall konsol.
Som du ser är den utskrivna informationen närmare en snabb varning än en fullständig.
Cmg-varningstest:
Låt oss nu få en rapport i konsolen med information om en fullständig rapport och mer. Detta läge har utvecklats för teständamål och loggar inte resultat.
fnysa -c / etc / fnysa / fnysa.conf -q -A cmg
Var:
fnysa= ringer programmet
-c= sökväg till konfigurationsfil, i det här fallet standard (/ etc / snort / snort.conf)
-q= hindrar snark från att visa initial information
-A= definierar varningsläget, i detta fall cmg.
För att unsock-varningen ska fungera måste du integrera den i ett tredjepartsprogram eller plugin.
Snorts standardvarningsläge är fullständigt läge, om du inte behöver ytterligare information om en snabb, skulle ett snabbt läge öka prestanda.
Jag hoppas att denna handledning hjälpte till att förstå Snorts varningslägen.