Snort installiert - wie einige Alerts bzw. Regeln aktivieren



  • Hallo,
    ich habe eine kurze Frage zu Snort. Ich habe es nun seit ein paar Wochen laufen, zum kennen lernen und damit beschäftigen, nicht aktiviert und schaue mir immer mal wieder die Alertlogs an.

    Nun ist es so, dass z.B. häufig der SSH Port als Angriffsziel auftaucht. Ich kann nun natürlich die Option Block, für alle Defaultregeln aktivieren, möchte jedoch ganz gezielt nur bestimmte Regeln aktivieren. Ist das a) so ok und b) kann ich z.B. nur bestimmte Regeln wie "ET SCAN SSH BruteForce Tool …" aktivieren und wenn ja wie?

    danke


Log in to reply