4. Snort Falso Positivo

Snort Falso Positivo

  • A

    Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??

    0
  • J

    Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

    0

  • @antonyzub:

    Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??

    Como o amigo já disse acima, e tbm procura usar o bom senso, como vc é da T.I, pegue o link analise ele, se vc acha que está tudo normal,
    é só liberar. Essa analise do técnico é importantíssimo para o bom funcionamento do Snort.

    0

  • Seria interessante também você dá uma lida no próprio desenvolvedor do snort. De início eu apanhei bastante também com ele. Hoje já o tenho na mão.

    0
  • A

    @jorlando:

    Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

    Eu sou novo com o Snort. Poderia me ajudar onde e como eu consigo desabilitar essas regras?

    0

  • Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

    0
  • A

    @marcelloc:

    Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

    Muito obrigado pela dica.

    Existe alguma regra ou configuração do Snort onde ele faça o bloqueio ou gere um alerte de ransomwares?

    0
  • J

    O snort tem regras pra tudo, basicamente. Se seu ambiente é corporativo considere uma assinatura para ter as regras atualizadas diariamente. O pacote community é atualizado apenas uma vez por semana.

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy