Snort mailing list archives
Re: Relation between events and rules set.
From: David Alonso De La Vega Tapage <delavegad () bancoaliado com>
Date: Fri, 25 Apr 2003 15:32:16 -0500
Excelente .. ya habia escuchado antes de este proyecto Nemo ... pero no me habia dado cuenta que trabajas en Window$ .. no sé pro que tuve la impresión que lo hacias en Linux .. pero bueno igual veo muy bueno lo que comentas ..
Julio Jaime wrote:
Bueno, tome una decision respecto de este problema y es la siguiente :Voy adicionar a cada regla en el campo de mensaje, un texto con el set de reglas al cual pertenece. Ejemplo : Hoy : alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC Apache Chunked-Encoding worm attempt"; flags:A+; content:"CCCCC CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack; reference:bugtraq,4474; reference:cve,CAN-2002-0079;reference:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;) Modificado :alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-APACHE : WEB-MISC Apache Chunked-Encoding worm attempt"; flags:A+; content:"CCCCC CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack; reference:bugtraq,4474; reference:cve,CAN-2002-0079;reference:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;)Esto me obliga a tener una herramienta para el manejo de nuevas reglas, ya que tendre que agregarles esta informacion cuando agregue nuevas o cambien de version reglas anteriores. Por lo tanto la formula de Severidad de los eventos mas el motor de correlacion, me permitira concentrarme en aquellos eventos mas interesantes. Muchas gracias por su ayuda. PD: Les envio una pantalla de la consola de monitoreo en la cual estamos trabajando. Es una version pre beta y todavia falta mucho trabajo !!! Saludos.-----Mensaje original----- De: David Alonso De La Vega Tapage [mailto:delavegad () bancoaliado com] Enviado el: Jueves, 24 de Abril de 2003 06:46 p.m. Para: Julio Jaime CC: 'snort-users () lists sourceforge net' Asunto: Re: [Snort-users] Relation between events and rules set. Suena muy interesante lo que haces .. y algo divertido .. ! Ahora bien tu puedes modificar las reglas a tu gusto .. sin importar que dejen de ser stadard .. es más hasta podrias hacer un paquete de reglas especifico como quieras y poner la ruta de ese paquete de reglas en el Rule Path .. o poner solo las reglas que deseas en un path diferente que especificarias en el final de snort.conf en donde está en nombre especifico de cada regla .. asi te devolverán lo que quieres y guardarás las originales .. De otro lo que se me ocurre un poco es un script .. que por ejemplo filtrara de la base de datos lo que te interesa saber de la regla .. para eso puedes ver la estructura de la DB en el archivo de create_mysql que está en contrib ... Haber comentame más para ver si tengo más ideas .. o explicandome las cosas se te ocurre una buena .. ! Saludos desde Panamá .. ! Julio Jaime wrote:Hola David,Muchas gracias por tu ayuda. Voy a dar una introduccion. Estoy trabajando en una aplicacion de manejo deamenazas en forma distribuida, el cual utiliza snort , syslog servers y logsnorter para colectar en diferentes puntos los eventos de seguridad. Estos eventos son enviados a un equipo central que los correlaciona y genera alertas de diferente grado.Cada evento se guarda en una base de datos Mysql conel esquema de base de datos de ACID. Tanto los eventos de snort como aquellos que generen diferentes sensores . ( Firewalls, routers, IIS ).Hay un modulo del proyecto que consiste en una consoladonde se ven los diferentes eventos que llegan desde los logservers distribuidos, esta consola muestra los eventos en diferente color segun el grado de severidad.Definimos un formula que da el grado de severidad de unevento, la cual es :Severidad : Sensor + Criticidad + Letalidad Sensor : Valor que corresponde al equipo que detectoel evento. No es lo mismo que lo detecte una Access list de un router de borde que un evento detectado por un IDS interno.Criticidad : Es un valor que esta dado por ladireccion del server de destino ( Ej : web server , smtp server ) y........... Aqui tenemos el problema el set de reglas de snort que disparo el evento.Ejemplo : Si un evento corresponde al conjunto dereglas WEB-IIS.rules y tiene como direccion destino un server Apache ; la severidad es 1Si este mismo evento esta dirigido a unIIS la severidad es 2Letalidad : Esta dado por el tipo de evento (Informacion, DDOS, Troyano...etc )Mi gran problema es como hacer para que snort me devuelvael conjunto de reglas que disparo un evento. Ya que el set de reglas estan clasificadas ( web-cgi.rules, web-coldfusion.rules, web-frontpage.rules, web-iis.rules, web-misc.rules, x11.rules ).Hoy un evento cuando dispara un alerta solo me devuelveel campo "msg" y no el set de reglas al cual pertenece el alerta. Esto me trae problemas ya que en el caso del set de reglas WEB-MISC por ejemplo, trae mensajes con valores WEB-PHP, WEB-MISC.Una solucion seria modificar todos los campos "msg" delas reglas, pero dejarian de ser standars.Bueno gracias por su ayuda y disculpen este mail tan largo. Saludos,-----Mensaje original----- De: David Alonso De La Vega Tapage [mailto:delavegad () bancoaliado com] Enviado el: Jueves, 24 de Abril de 2003 05:16 p.m. Para: Julio Jaime CC: 'snort-users () lists sourceforge net' Asunto: Re: [Snort-users] Relation between events and rules set. Sueltalo en castellano .. pues habemos un par de habla hispana que también te podemos hechar la mano .. ! claro que de mi parte mis conocimientos son mínimos pero de algo quizas han de servir .. Julio Jaime wrote:Hi John, Im sorry, english is not my language and is difficult to me explain it. You have differents set of rules : web-cgi.rules, web-coldfusion.rules, web-frontpage.rules, web-iis.rules, web-misc.rules, x11.rules... etc. The events trigger specific rules ( rules on these set of rules ). Ex : WEB-IIS cmd.exe access ---> on web-iis.rules The only reference to the set of rules on snort alert is the msg header, and is not reliable. ( ex. on web-misc.rules you have msg with WEB-MISC and WEB-PHP... ) If we can to know the set of rules that trigger the events, we can use it to calculate the event severity. "WEB-IIS cmd.exe access" alert is not dangerous on Apache Web Server. It's ok ? Thanks a lot.J.J.-----Mensaje original----- De: John Sage [mailto:jsage () finchhaven com] Enviado el: Miércoles, 23 de Abril de 2003 10:10 p.m. Para: Julio Jaime CC: 'snort-users () lists sourceforge net' Asunto: Re: [Snort-users] Relation between events and rules set. Julio: Let's do a little trimming: On or about Wed, Apr 23, 2003 at 04:47:30PM -0300, Julio Jaime posited:Hi all, We are working on threath management system using snort + logsnorter + syslog servers, but the core is snort.<snip>I need know , how find the relation between the event and the set of rules that trigger it event.Is the question "which specific rule was triggered by a specific event" ie: alert? cd /wherever_your_snort_rules_are/ grep 'insert_phrase_from_alert' * To wit: [**] [1:0:0] TCP inbound to 80 http [**] [Priority: 0] 04/21/03-18:07:00.234228 12.84.131.147:1894 -> 12.82.133.136:80 TCP TTL:120 TOS:0x0 ID:14681 IpLen:20 DgmLen:48 DF ******S* Seq: 0xDEEB0032 Ack: 0x0 Win: 0x2238 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [toot@tweedle /storage/snort]$ grep 'inbound to 80' * tcp191-local.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"TCP inbound to 80 http";) - John------------------------------------------------------------------------ ****** Message from InterScan E-Mail VirusWall NT ****** ** No virus found in attached file noname.htm Este correo ha sido revisado y esta libre de virus. Disclaimer ***************** End of message ***************------------------------------------------------------------------------ ****** Message from InterScan E-Mail VirusWall NT ****** ** No virus found in attached file noname.htm Este correo ha sido revisado y esta libre de virus. Disclaimer ***************** End of message ***************------------------------------------------------------------------------ ****** Message from InterScan E-Mail VirusWall NT ****** ** No virus found in attached file noname.htm ** No virus found in attached file correlation.jpg Este correo ha sido revisado y esta libre de virus. Disclaimer ***************** End of message ***************
Current thread:
- Relation between events and rules set. Julio Jaime (Apr 23)
- Re: Relation between events and rules set. John Sage (Apr 23)
- <Possible follow-ups>
- RE: Relation between events and rules set. Julio Jaime (Apr 24)
- Re: Relation between events and rules set. David Alonso De La Vega Tapage (Apr 24)
- RE: Relation between events and rules set. bmcdowell (Apr 24)
- RE: Relation between events and rules set. Julio Jaime (Apr 24)
- Re: Relation between events and rules set. David Alonso De La Vega Tapage (Apr 24)
- RE: Relation between events and rules set. Julio Jaime (Apr 24)
- RE: Relation between events and rules set. Julio Jaime (Apr 25)
- Re: Relation between events and rules set. David Alonso De La Vega Tapage (Apr 25)