[Snort-users] Relation between events and rules set.

David Alonso De La Vega Tapage delavegad at ...7768...
Fri Apr 25 13:25:12 EDT 2003


Excelente ..  ya habia escuchado antes de este proyecto Nemo ...  pero 
no me habia dado cuenta que trabajas en Window$ ..  no sé pro que tuve 
la impresión que lo hacias en Linux ..  pero bueno igual veo muy bueno 
lo que comentas ..


Julio Jaime wrote:

> Bueno, tome una decision respecto de este problema y es la siguiente :
>  
>         Voy adicionar a cada regla en el campo de mensaje, un texto 
> con el set de reglas al cual pertenece. Ejemplo :
>  
> Hoy :
>  
> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-MISC Apache Chunked-Encoding worm 
> attempt"; flags:A+; content:"CCCCC
> CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack; 
> reference:bugtraq,4474; reference:cve,CAN-2002-0079;refer
> ence:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;)
> Modificado :
>  
> alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-APACHE : WEB-MISC Apache Chunked-Encoding 
> worm attempt"; flags:A+; content:"CCCCC
> CC\: AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack; 
> reference:bugtraq,4474; reference:cve,CAN-2002-0079;refer
> ence:bugtraq,5033; reference:cve,CAN-2002-0392; sid:1809; rev:1;)
>  
>    
>         Esto me obliga a tener una herramienta para el manejo de 
> nuevas reglas, ya que tendre que agregarles esta informacion cuando 
> agregue nuevas o cambien de version reglas anteriores.
>  
>         Por lo tanto la formula de Severidad de los eventos mas el 
> motor de correlacion, me permitira concentrarme en aquellos eventos 
> mas interesantes.
>  
> Muchas gracias por su ayuda.
>  
> PD: Les envio una pantalla de la consola de monitoreo en la cual 
> estamos trabajando. Es una version pre beta y todavia falta mucho 
> trabajo !!!
>  
> Saludos.
>  
>
>     -----Mensaje original-----
>     De: David Alonso De La Vega Tapage [mailto:delavegad at ...7768...]
>     Enviado el: Jueves, 24 de Abril de 2003 06:46 p.m.
>     Para: Julio Jaime
>     CC: 'snort-users at lists.sourceforge.net'
>     Asunto: Re: [Snort-users] Relation between events and rules set.
>
>     Suena muy interesante lo que haces ..  y algo divertido .. !
>
>     Ahora bien tu puedes modificar las reglas a tu gusto ..  sin
>     importar que dejen de ser stadard ..  es más hasta podrias hacer
>     un paquete de reglas especifico como quieras y poner la ruta de
>     ese paquete de reglas en el Rule Path ..   o poner solo las reglas
>     que deseas en un path diferente que especificarias en el final de
>     snort.conf en donde está en nombre especifico de cada regla ..
>      asi te devolverán lo que quieres y guardarás las originales ..
>
>     De otro lo que se me ocurre  un poco es un script ..  que por
>     ejemplo filtrara de la base de datos lo que te interesa saber de
>     la regla ..  para eso puedes ver la estructura de la DB en el
>     archivo de create_mysql que está en contrib ...
>
>     Haber comentame más para ver si tengo más ideas ..  o explicandome
>     las cosas se te ocurre una buena .. !
>
>     Saludos desde Panamá .. !
>
>
>     Julio Jaime wrote:
>
>>     Hola David,
>>      
>>                Muchas gracias por tu ayuda. Voy a dar una introduccion.
>>      
>>               Estoy trabajando en una aplicacion de manejo de
>>     amenazas en forma distribuida, el cual utiliza snort , syslog
>>     servers y logsnorter para colectar en diferentes puntos los
>>     eventos de seguridad. Estos eventos son enviados a un equipo
>>     central que los correlaciona y genera alertas de diferente grado.
>>      
>>                 Cada evento se guarda en una base de datos Mysql con
>>     el esquema de base de datos de ACID. Tanto los eventos de snort
>>     como aquellos que generen diferentes sensores . ( Firewalls,
>>     routers, IIS ).
>>      
>>               Hay un modulo del proyecto que consiste en una consola
>>     donde se ven los diferentes eventos que llegan desde los
>>     logservers distribuidos, esta consola muestra los eventos en
>>     diferente color segun el grado de severidad.
>>      
>>               Definimos un formula que da el grado de severidad de un
>>     evento, la cual es :
>>      
>>      
>>                Severidad : Sensor + Criticidad + Letalidad
>>      
>>                 Sensor : Valor que corresponde al equipo que detecto
>>     el evento. No es lo mismo que lo detecte una Access list de un
>>     router de borde que un evento detectado por un IDS interno.
>>      
>>                Criticidad : Es un valor que esta dado por la
>>     direccion del server de destino ( Ej : web server , smtp server )
>>     y........... Aqui tenemos el problema el set de reglas de snort
>>     que disparo el evento.
>>      
>>               Ejemplo : Si un evento corresponde al conjunto de
>>     reglas WEB-IIS.rules y tiene como direccion destino un server
>>     Apache ; la severidad es 1
>>      
>>                              Si este mismo evento esta dirigido a un
>>     IIS la severidad es 2
>>      
>>      
>>             Letalidad : Esta dado por el tipo de evento (
>>     Informacion, DDOS, Troyano...etc )
>>      
>>      
>>             Mi gran problema es como hacer para que snort me devuelva
>>     el conjunto de reglas que disparo un evento. Ya que el set de
>>     reglas estan clasificadas ( web-cgi.rules, web-coldfusion.rules,
>>     web-frontpage.rules, web-iis.rules, web-misc.rules, x11.rules ).
>>      
>>             Hoy un evento cuando dispara un alerta solo me devuelve
>>     el campo "msg" y no el set de reglas al cual pertenece el alerta.
>>     Esto me trae problemas ya que en el caso del set de
>>     reglas WEB-MISC por ejemplo, trae mensajes con valores WEB-PHP,
>>     WEB-MISC.
>>      
>>             Una solucion seria modificar todos los campos "msg" de
>>     las reglas, pero dejarian de ser standars.
>>      
>>      
>>             Bueno gracias por su ayuda y disculpen este mail tan largo.
>>      
>>     Saludos,
>>      
>>               
>>
>>         -----Mensaje original-----
>>         De: David Alonso De La Vega Tapage
>>         [mailto:delavegad at ...7768...]
>>         Enviado el: Jueves, 24 de Abril de 2003 05:16 p.m.
>>         Para: Julio Jaime
>>         CC: 'snort-users at lists.sourceforge.net'
>>         Asunto: Re: [Snort-users] Relation between events and rules set.
>>
>>         Sueltalo en castellano ..   pues habemos un par de habla
>>         hispana que también te podemos hechar la mano ..  ! claro que
>>         de mi parte mis conocimientos son mínimos pero de algo quizas
>>         han de servir ..
>>
>>
>>         Julio Jaime wrote:
>>
>>>Hi John,
>>>
>>>       Im sorry, english is not my language and is difficult to me explain
>>>it.
>>>
>>>       You have differents set of rules :
>>>
>>>       web-cgi.rules, web-coldfusion.rules, web-frontpage.rules,
>>>web-iis.rules, web-misc.rules, x11.rules... etc.
>>>
>>>       The events trigger specific rules ( rules on these set of rules ).
>>>
>>>       Ex : WEB-IIS cmd.exe access ---> on web-iis.rules
>>>
>>>       The only reference to the set of rules on snort alert is the msg
>>>header, and is not reliable. ( ex. on web-misc.rules you have msg with
>>>WEB-MISC and WEB-PHP... )
>>>
>>>        If we can to know the set of rules that trigger the events, we can
>>>use it to calculate the event severity.
>>>
>>>        "WEB-IIS cmd.exe access" alert is not dangerous on Apache Web
>>>Server.
>>>
>>>	 It's ok ?
>>>
>>>Thanks a lot.
>>>
>>>J.J.           
>>>
>>>-----Mensaje original-----
>>>De: John Sage [mailto:jsage at ...2022...]
>>>Enviado el: Miércoles, 23 de Abril de 2003 10:10 p.m.
>>>Para: Julio Jaime
>>>CC: 'snort-users at lists.sourceforge.net'
>>>Asunto: Re: [Snort-users] Relation between events and rules set.
>>>
>>>
>>>Julio:
>>>
>>>Let's do a little trimming:
>>>
>>>On or about Wed, Apr 23, 2003 at 04:47:30PM -0300, Julio Jaime posited:
>>>  
>>>
>>>>Hi all,
>>>>
>>>>     We are working on threath management system using snort +
>>>>logsnorter + syslog servers, but the core is snort.
>>>>    
>>>>
>>>
>>><snip>
>>>
>>>  
>>>
>>>>     I need know , how find the relation between the event and the
>>>>set of rules that trigger it event.
>>>>           
>>>>    
>>>>
>>>
>>>Is the question "which specific rule was triggered by a specific
>>>event" ie: alert?
>>>
>>>cd /wherever_your_snort_rules_are/
>>>grep 'insert_phrase_from_alert' *
>>>
>>>To wit:
>>>
>>>[**] [1:0:0] TCP inbound to 80 http [**]
>>>[Priority: 0]
>>>04/21/03-18:07:00.234228 12.84.131.147:1894 -> 12.82.133.136:80
>>>TCP TTL:120 TOS:0x0 ID:14681 IpLen:20 DgmLen:48 DF
>>>******S* Seq: 0xDEEB0032  Ack: 0x0  Win: 0x2238  TcpLen: 28
>>>TCP Options (4) => MSS: 1460 NOP NOP SackOK
>>>
>>>[toot at ...8592... /storage/snort]$ grep 'inbound to 80' *
>>>tcp191-local.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET 80
>>> (msg:"TCP inbound to 80 http";)
>>>
>>>
>>>
>>>- John
>>>  
>>>
>>>------------------------------------------------------------------------
>>>
>>>****** Message from InterScan E-Mail VirusWall NT ******
>>>
>>>** No virus found in attached file noname.htm
>>>
>>>Este correo ha sido revisado y esta libre de virus. Disclaimer
>>>*****************     End of message     ***************
>>>
>>>  
>>>
>>
>>------------------------------------------------------------------------
>>
>>****** Message from InterScan E-Mail VirusWall NT ******
>>
>>** No virus found in attached file noname.htm
>>
>>Este correo ha sido revisado y esta libre de virus. Disclaimer
>>*****************     End of message     ***************
>>
>>  
>>
>
>------------------------------------------------------------------------
>
>****** Message from InterScan E-Mail VirusWall NT ******
>
>** No virus found in attached file noname.htm
>** No virus found in attached file correlation.jpg
>
>Este correo ha sido revisado y esta libre de virus. Disclaimer
>*****************     End of message     ***************
>
>  
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20030425/b7b5bb33/attachment.html>


More information about the Snort-users mailing list