Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Konkrete Informationen zu Snort Alert / Blocks

    Deutsch
    2
    6
    818
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      CreativeDevelopers
      last edited by

      Hallo zusammen

      Ich wollte gerne wissen, wie man so wie bei SGUIL die konkreten Informationen zum versuchten Angriff (Header-Infos) usw. in pfSense sieht:
      http://2.bp.blogspot.com/_Prlv_CKbUdQ/TTOOj-YJ_5I/AAAAAAAAAHw/CfbJNxl3X6Q/s1600/Security_Onion_20110116_Sguil_alert.PNG

      Gruss

      1 Reply Last reply Reply Quote 0
      • C
        CreativeDevelopers
        last edited by

        Hallo zusammen

        Gibt es keine Möglichkeit dies so ausführlich darzustellen, wie es durch die Snort-GUI möglich ist?

        Gruss

        1 Reply Last reply Reply Quote 0
        • B
          Birke
          last edited by

          ich kann mir die infos zu jedem der regeln im suricata angucken.
          einfach im suricata bei einem der eingerichteten interfaces auf rules gehen und dann die sid der gesuchten rule anklicken. (sollte bei snort genauso sein, denk ich)

          oder meinst du was anderes?

          1 Reply Last reply Reply Quote 0
          • C
            CreativeDevelopers
            last edited by

            Danke für die Rückmeldung.
            Ich verwende zur Zeit Snort und nicht Suricata.
            Meine Absicht liegt da dass ich nicht die eingetroffene Regel von Snort genauer sehen möchte, sondern was genau versucht wurde zu hacken.

            Snort gibt mir das Zielsystem + Port, Quellsystem und Port sowie die eingetroffene Regel aus. Was mich aber interessiert ist nicht nur die IP und Port des geschützten Servers, sondern was genau versucht wurde. Beispielsweise bei einer Meldung bezüglich XSS (Cross Site Scripting) bringt es mir wenig nur zu wissen welcher meiner Server betroffen war, sondern welche Website auf dem Server (URL, Query, Dateiname, Header usw.)

            Wie kann ich das sehen?

            Gruss

            1 Reply Last reply Reply Quote 0
            • C
              CreativeDevelopers
              last edited by

              hallo zusammen

              So wie ich rausgefunden habe kann man mit Barnyard2 die Alarm-Meldungen von Snort beispielsweise in einer MySQL-Datenbank speichern.
              Sodann sollte man mit einer Software diese Meldungen genau auswerten können, jedoch finde ich keine Software hierfür geeignet mit Windows oder als webbasierende Lösung in PHP.

              Es geht ja nicht um die Snort- oder Suricata Regel, sondern um die Analyse des eingetretenen Alarms infolge eines Angriffs.

              Kennt ihr da etwas?

              1 Reply Last reply Reply Quote 0
              • C
                CreativeDevelopers
                last edited by

                Ich habe Barnyard2 so eingerichtet dass er auf dem externen MySQL-Server die Logs schreibt.
                Nun aber aus unersichtlichen Gründen bricht Barnyard immer wieder ab. Ich vermute, sobald ein Alert in Snort ausgelöst wurde.

                Hat jemand damit Erfahrungen? Verwende ich vlt. veraltete MySQL-Tables für Barnyard?

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post