PfSense i snort
-
Witam, proszę o wyrozumiałość:)
Eksperymentuję ze snortemna pfsense, staram się jakoś zrozumieć i zapanować nad ilością reguł i komunikatów snorta. W zakładce alerts mam jakiś komunikat, analizuję i stwierdzam że to jest false positive i generalnie taka informacja mnie nie obchodzi, chciał bym ją wyłączyć. Mam gid:sid ale w jaki sposób zlokalizować w jakiej grupie ta reguła się znajduje? Jak ją znaleźć w regułach?
Gdy chcę wyświetlić aktywne reguły aby użyć zwykłego ctrl+f, to trwa milion lat bo tych aktywnych jest tak dużo:/ chciał bym je na podstawie alertów sukcesywnie dezaktywować jeżeli są niepotrzebne, ale nie wiem jak je znaleźć... -
Wyłączyć można pytanie czy warto Snort ->edycja interfejsu -> WAN Rules
I wyłączyć konkretną regułę.Moim zdaniem lepiej jest pododawać wpisy dla każdego interfejsu co jest dozwolone niż wyłączyć całą regułę.
U mnie lista alertów jest długa. Ale do czasu jak nie blokuje to czego nie powinien to nie interweniuję. -
To nawet nie do końca chodzi o to że alert mi przeszkadza (choć masa bzdurnych skutecznie zaciemnia te być może potrzebne), bardziej chodzi mi o to że chciał bym aby snort monitorował to na czym mi zależy i generalnie chciał bym być świadomy jakie grupy jakie reguły mam odpalone, jakoś umieć się w tym poruszać... Ja wiem gdzie wyświetlić reguły, wiem jak wyświetlić grupy reguł, nie umiem w drugą stronę... Na podstawie alertu zlokalizować regułę i grupę do której należy dana reguła.
2020-10-02 10:22:12 3 TCP Misc activity XX.XX.XX.XX 37784 173.194.151.103 443 1:70697 youtube
Co mi wnosi taki alert? Ktoś odpalił youtuba... Chcę zlokalizować która to reguła:/ -
Wszystko masz zawarte w alercie:
2020-10-02 10:22:12 3 TCP Misc activity XX.XX.XX.XX 37784 173.194.151.103 443 1:70697
Snort ->edycja interfejsu -> WAN Rules
Odszukaj ten kod: 37784 -> FILE-IDENTIFY Adobe Texture Format file magic detected -
A możesz podpowiedzieć jeszcze jakieś ustrojstwo pomagające przeglądać/analizować logi? coś co zbiera logi w jakieś kategorie itd...