我不知道这个问题是否与编程有关,但无论如何我都会尝试。我是Alienvault OSSIM系统的新手。 我正在努力学习如何制定自己的规则,但遗憾的是我遇到了一些困难。 我在Snort规则文件夹中的规则文件“local.rules”中创建了一个简单的规则。
alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)
此规则在从任何计算机到任何计算机的icmp ping之后触发。 我检查了Snort是否处理了这个规则,实际上它的记录出现在snort日志文件中。
从我对此做的搜索中,我意识到在更改规则文件后,我必须运行下面的脚本以映射规则文件。
perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
然后我在local_rules.xml文件中创建了以下OSSIM规则:
<group name="local,syslog,">
<rule id="100020" level="2">
<if_sid>250888</if_sid>
<description>it's a new rule that i write myself!!</description>
</rule>
</group>
系统重启后,我向机器发送了一些ping命令,但规则在警报日志中没有出现。在OSSIM系统错误日志中会出现:
2014/08/06 11:30:59 rules_list: Signature ID '250888' not found. Invalid 'if_sid'.
有人可以向我解释我做错了吗?
答案 0 :(得分:0)
我不熟悉Alienvault OSSIM系统,但从snort的角度来看,这是本地规则的无效sid。本地规则的SID必须> = 1,000,000,因为它们是为Snort分发(See documentation on this here)中包含的规则保留的。也许尝试将sid更改为1000000(如果要保留250888部分,则更改为1250888)。
答案 1 :(得分:0)
如果在snort中创建规则,则无需创建规则local_rules.xml
更改snort的local.rules后
any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)
并执行此命令
perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
转到网络界面&gt;配置&gt;威胁情报&gt; <数据源>数据源ID 1001
在搜索输入中写下规则的sid(250888),你会发现你是规则