我正在尝试向Suricata添加新规则,以将任何PDF文件传输存储在网络中。我尝试通过两个规则来实现
警告http任意->任意(msg:“检测到FILE pdf”; filemagic:“ PDF 文档”;文件存储; sid:3; rev:1;)
和
警报ftp任意->任意(msg:“检测到FILE pdf”; filemagic:“ PDF 文档”;文件存储; sid:4; rev:1;)
第二条规则总是给我错误作为配置错误。
当我仅尝试第一个并且尝试从http页面下载任何pdf文件时,没有报告警报
我在这里想念的东西
答案 0 :(得分:0)
是...
file-store:
enable: yes
...设置在您的suricata.yaml中吗?
您还应该检查您的filemagic特定版本返回的PDF文件。不幸的是,文件魔术规则似乎需要完全匹配。
file file.pdf