为了记录:我做了以下指示(在网站上找到它们)
snort_syslog和snortunified)。在alienvault:~# nano /etc/snort/rules/local.rules
我做了以下规则
alert icmp 192.168.1.130 192.168.1.120 -> any any
(msg:"blablabla"; sid:1000004)
保存并退出
之后我做了:
alienvault:~# perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/
alienvault:~# /etc/init.d/ossim-server restart 由于某些原因,当我从192.168.1.120 ping 192.168.1.130时,SIEM中的AlienVault界面没有任何反应。
答案 0 :(得分:0)
我不知道它仍然相关,但在我看来,你的Snort规则有一个错误:
Snort中的规则不能包含规则标头第一部分中的两个IP地址。 在您声明IP“ 192.168.1.120 ”时,您必须声明端口。
您需要的解决方案如下(如果我说得对):
提醒icmp 192.168.120 any - > 192.168.1.130 any(msg:“blablabla”; sid: 1000004 )
还有另一种方式:
提醒icmp 192.168.1.130 any - > 192.168.1.120 any(msg:“blablabla”; sid: 1000005 )
要以正确的语法编写规则,请查看snort手册:http://manual.snort.org/node29.html#SECTION00423000000000000000
我希望这可以帮到你。
/克里斯