RE: Relation between events and rules set.

[Julio Jaime <jjaime () ticket-accor com ar>]

Bueno, tome una decision respecto de este problema y es la siguiente :
 
        Voy adicionar a cada regla en el campo de mensaje, un texto con el
set de reglas al cual pertenece. Ejemplo :
 
Hoy :
 
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC Apache
Chunked-Encoding worm attempt"; flags:A+; content:"CCCCC
CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack;
reference:bugtraq,4474; reference:cve,CAN-2002-0079;refer
ence:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;)

Modificado :
 
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-APACHE : WEB-MISC
Apache Chunked-Encoding worm attempt"; flags:A+; content:"CCCCC
CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack;
reference:bugtraq,4474; reference:cve,CAN-2002-0079;refer
ence:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;)
 
    
        Esto me obliga a tener una herramienta para el manejo de nuevas
reglas, ya que tendre que agregarles esta informacion cuando agregue nuevas
o cambien de version reglas anteriores.
 
        Por lo tanto la formula de Severidad de los eventos mas el motor de
correlacion, me permitira concentrarme en aquellos eventos mas interesantes.
 
Muchas gracias por su ayuda.
 
PD: Les envio una pantalla de la consola de monitoreo en la cual estamos
trabajando. Es una version pre beta y todavia falta mucho trabajo !!!
 
Saludos.

 

-----Mensaje original-----
De: David Alonso De La Vega Tapage [mailto:delavegad () bancoaliado com]
Enviado el: Jueves, 24 de Abril de 2003 06:46 p.m.
Para: Julio Jaime
CC: 'snort-users () lists sourceforge net'
Asunto: Re: [Snort-users] Relation between events and rules set.


Suena muy interesante lo que haces ..  y algo divertido .. ! 

Ahora bien tu puedes modificar las reglas a tu gusto ..  sin importar que
dejen de ser stadard ..  es más hasta podrias hacer un paquete de reglas
especifico como quieras y poner la ruta de ese paquete de reglas en el Rule
Path ..   o poner solo las reglas que deseas en un path diferente que
especificarias en el final de snort.conf en donde está en nombre especifico
de cada regla ..  asi te devolverán lo que quieres y guardarás las
originales .. 

De otro lo que se me ocurre  un poco es un script ..  que por ejemplo
filtrara de la base de datos lo que te interesa saber de la regla ..  para
eso puedes ver la estructura de la DB en el archivo de create_mysql que está
en contrib ...

Haber comentame más para ver si tengo más ideas ..  o explicandome las cosas
se te ocurre una buena .. ! 

Saludos desde Panamá .. ! 


Julio Jaime wrote:


Hola David,
 
           Muchas gracias por tu ayuda. Voy a dar una introduccion.
 
          Estoy trabajando en una aplicacion de manejo de amenazas en forma
distribuida, el cual utiliza snort , syslog servers y logsnorter para
colectar en diferentes puntos los eventos de seguridad. Estos eventos son
enviados a un equipo central que los correlaciona y genera alertas de
diferente grado.
 
            Cada evento se guarda en una base de datos Mysql con el esquema
de base de datos de ACID. Tanto los eventos de snort como aquellos que
generen diferentes sensores . ( Firewalls, routers, IIS ).
 
          Hay un modulo del proyecto que consiste en una consola donde se
ven los diferentes eventos que llegan desde los logservers distribuidos,
esta consola muestra los eventos en diferente color segun el grado de
severidad.
 
          Definimos un formula que da el grado de severidad de un evento, la
cual es :
 
 
           Severidad : Sensor + Criticidad + Letalidad
 
            Sensor : Valor que corresponde al equipo que detecto el evento.
No es lo mismo que lo detecte una Access list de un router de borde que un
evento detectado por un IDS interno.
 
           Criticidad : Es un valor que esta dado por la direccion del
server de destino ( Ej : web server , smtp server ) y........... Aqui
tenemos el problema el set de reglas de snort que disparo el evento.
 
          Ejemplo : Si un evento corresponde al conjunto de reglas
WEB-IIS.rules y tiene como direccion destino un server Apache ; la severidad
es 1
 
                         Si este mismo evento esta dirigido a un IIS la
severidad es 2
 
 
        Letalidad : Esta dado por el tipo de evento ( Informacion, DDOS,
Troyano...etc )
 
 
        Mi gran problema es como hacer para que snort me devuelva el
conjunto de reglas que disparo un evento. Ya que el set de reglas estan
clasificadas ( web-cgi.rules, web-coldfusion.rules, web-frontpage.rules,
web-iis.rules, web-misc.rules, x11.rules ).
 
        Hoy un evento cuando dispara un alerta solo me devuelve el campo
"msg" y no el set de reglas al cual pertenece el alerta. Esto me trae
problemas ya que en el caso del set de reglas WEB-MISC por ejemplo, trae
mensajes con valores WEB-PHP, WEB-MISC.
 
        Una solucion seria modificar todos los campos "msg" de las reglas,
pero dejarian de ser standars.
 
 
        Bueno gracias por su ayuda y disculpen este mail tan largo.
 
Saludos,
 
           

-----Mensaje original-----
De: David Alonso De La Vega Tapage [ mailto:delavegad () bancoaliado com
<mailto:delavegad () bancoaliado com> ]
Enviado el: Jueves, 24 de Abril de 2003 05:16 p.m.
Para: Julio Jaime
CC: ' snort-users () lists sourceforge net
<mailto:snort-users () lists sourceforge net> '
Asunto: Re: [Snort-users] Relation between events and rules set.


Sueltalo en castellano ..   pues habemos un par de habla hispana que también
te podemos hechar la mano ..  ! claro que de mi parte mis conocimientos son
mínimos pero de algo quizas han de servir .. 


Julio Jaime wrote:


Hi John,



       Im sorry, english is not my language and is difficult to me explain

it.



       You have differents set of rules :



       web-cgi.rules, web-coldfusion.rules, web-frontpage.rules,

web-iis.rules, web-misc.rules, x11.rules... etc.



       The events trigger specific rules ( rules on these set of rules ).



       Ex : WEB-IIS cmd.exe access ---> on web-iis.rules



       The only reference to the set of rules on snort alert is the msg

header, and is not reliable. ( ex. on web-misc.rules you have msg with

WEB-MISC and WEB-PHP... )



        If we can to know the set of rules that trigger the events, we can

use it to calculate the event severity.



        "WEB-IIS cmd.exe access" alert is not dangerous on Apache Web

Server.



         It's ok ?



Thanks a lot.



J.J.           



-----Mensaje original-----

De: John Sage [ mailto:jsage () finchhaven com <mailto:jsage () finchhaven com> ]

Enviado el: Miércoles, 23 de Abril de 2003 10:10 p.m.

Para: Julio Jaime

CC: ' snort-users () lists sourceforge net
<mailto:snort-users () lists sourceforge net> '

Asunto: Re: [Snort-users] Relation between events and rules set.





Julio:



Let's do a little trimming:



On or about Wed, Apr 23, 2003 at 04:47:30PM -0300, Julio Jaime posited:

  

Hi all,



     We are working on threath management system using snort +

logsnorter + syslog servers, but the core is snort.

    



<snip>



  

     I need know , how find the relation between the event and the

set of rules that trigger it event.

           

    



Is the question "which specific rule was triggered by a specific

event" ie: alert?



cd /wherever_your_snort_rules_are/

grep 'insert_phrase_from_alert' *



To wit:



[**] [1:0:0] TCP inbound to 80 http [**]

[Priority: 0]

04/21/03-18:07:00.234228 12.84.131.147:1894 -> 12.82.133.136:80

TCP TTL:120 TOS:0x0 ID:14681 IpLen:20 DgmLen:48 DF

******S* Seq: 0xDEEB0032  Ack: 0x0  Win: 0x2238  TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK



[toot@tweedle /storage/snort]$ grep 'inbound to 80' *

tcp191-local.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET 80

 (msg:"TCP inbound to 80 http";)







- John

  


  _____  


****** Message from InterScan E-Mail VirusWall NT ******



** No virus found in attached file noname.htm



Este correo ha sido revisado y esta libre de virus. Disclaimer

*****************     End of message     ***************



  




  _____  


****** Message from InterScan E-Mail VirusWall NT ******



** No virus found in attached file noname.htm



Este correo ha sido revisado y esta libre de virus. Disclaimer

*****************     End of message     ***************

Attachment: correlation.jpg
Description: