那么例如,当有类似sfportscan预处理器的东西时,为什么我需要scan.rules?是因为预处理器无法检测到所有活动,所以有检测引擎使用具有众所周知的网络攻击签名的规则试图找到匹配?但也有预处理规则,所以我现在有点困惑。所以预处理器使用他们自己的规则,然后有正常的规则,以防这个预处理规则没有找到匹配?
感谢您的回答。
答案 0 :(得分:0)
预处理器规则用于启用或禁用(或更改)由预处理器触发的事件。请参阅snort manual。
文件scan.rules与sfportscan预处理器无关。它意味着作为容器文件来保存检测可能的扫描事件的规则。这样就可以为不需要整个规则集的用户排除/包含规则。