Re: Relation between events and rules set.

[David Alonso De La Vega Tapage <delavegad () bancoaliado com>]

Suena muy interesante lo que haces ..  y algo divertido .. !

Ahora bien tu puedes modificar las reglas a tu gusto ..  sin importar 
que dejen de ser stadard ..  es más hasta podrias hacer un paquete de 
reglas especifico como quieras y poner la ruta de ese paquete de reglas 
en el Rule Path ..   o poner solo las reglas que deseas en un path 
diferente que especificarias en el final de snort.conf en donde está en 
nombre especifico de cada regla ..  asi te devolverán lo que quieres y 
guardarás las originales ..

De otro lo que se me ocurre  un poco es un script ..  que por ejemplo 
filtrara de la base de datos lo que te interesa saber de la regla .. 
para eso puedes ver la estructura de la DB en el archivo de 
create_mysql que está en contrib ...

Haber comentame más para ver si tengo más ideas ..  o explicandome las 
cosas se te ocurre una buena .. !

Saludos desde Panamá .. !


Julio Jaime wrote:

> Hola David,
>  
>            Muchas gracias por tu ayuda. Voy a dar una introduccion.
>  
>           Estoy trabajando en una aplicacion de manejo de amenazas en 
> forma distribuida, el cual utiliza snort , syslog servers y logsnorter 
> para colectar en diferentes puntos los eventos de seguridad. Estos 
> eventos son enviados a un equipo central que los correlaciona y genera 
> alertas de diferente grado.
>  
>             Cada evento se guarda en una base de datos Mysql con el 
> esquema de base de datos de ACID. Tanto los eventos de snort como 
> aquellos que generen diferentes sensores . ( Firewalls, routers, IIS ).
>  
>           Hay un modulo del proyecto que consiste en una consola donde 
> se ven los diferentes eventos que llegan desde los logservers 
> distribuidos, esta consola muestra los eventos en diferente color 
> segun el grado de severidad.
>  
>           Definimos un formula que da el grado de severidad de un 
> evento, la cual es :
>  
>  
>            Severidad : Sensor + Criticidad + Letalidad
>  
>             Sensor : Valor que corresponde al equipo que detecto el 
> evento. No es lo mismo que lo detecte una Access list de un router de 
> borde que un evento detectado por un IDS interno.
>  
>            Criticidad : Es un valor que esta dado por la direccion del 
> server de destino ( Ej : web server , smtp server ) y........... Aqui 
> tenemos el problema el set de reglas de snort que disparo el evento.
>  
>           Ejemplo : Si un evento corresponde al conjunto de reglas 
> WEB-IIS.rules y tiene como direccion destino un server Apache ; la 
> severidad es 1
>  
>                          Si este mismo evento esta dirigido a un IIS 
> la severidad es 2
>  
>  
>         Letalidad : Esta dado por el tipo de evento ( Informacion, 
> DDOS, Troyano...etc )
>  
>  
>         Mi gran problema es como hacer para que snort me devuelva el 
> conjunto de reglas que disparo un evento. Ya que el set de reglas 
> estan clasificadas ( web-cgi.rules, web-coldfusion.rules, 
> web-frontpage.rules, web-iis.rules, web-misc.rules, x11.rules ).
>  
>         Hoy un evento cuando dispara un alerta solo me devuelve el 
> campo "msg" y no el set de reglas al cual pertenece el alerta. Esto me 
> trae problemas ya que en el caso del set de reglas WEB-MISC por 
> ejemplo, trae mensajes con valores WEB-PHP, WEB-MISC.
>  
>         Una solucion seria modificar todos los campos "msg" de las 
> reglas, pero dejarian de ser standars.
>  
>  
>         Bueno gracias por su ayuda y disculpen este mail tan largo.
>  
> Saludos,
>  
>           
>
>     -----Mensaje original-----
>     De: David Alonso De La Vega Tapage [mailto:delavegad () bancoaliado com]
>     Enviado el: Jueves, 24 de Abril de 2003 05:16 p.m.
>     Para: Julio Jaime
>     CC: 'snort-users () lists sourceforge net'
>     Asunto: Re: [Snort-users] Relation between events and rules set.
>
>     Sueltalo en castellano ..   pues habemos un par de habla hispana
>     que también te podemos hechar la mano ..  ! claro que de mi parte
>     mis conocimientos son mínimos pero de algo quizas han de servir ..
>
>
>     Julio Jaime wrote:
>
> > Hi John,
> >
> >       Im sorry, english is not my language and is difficult to me explain
> > it.
> >
> >       You have differents set of rules :
> >
> >       web-cgi.rules, web-coldfusion.rules, web-frontpage.rules,
> > web-iis.rules, web-misc.rules, x11.rules... etc.
> >
> >       The events trigger specific rules ( rules on these set of rules ).
> >
> >       Ex : WEB-IIS cmd.exe access ---> on web-iis.rules
> >
> >       The only reference to the set of rules on snort alert is the msg
> > header, and is not reliable. ( ex. on web-misc.rules you have msg with
> > WEB-MISC and WEB-PHP... )
> >
> >        If we can to know the set of rules that trigger the events, we can
> > use it to calculate the event severity.
> >
> >        "WEB-IIS cmd.exe access" alert is not dangerous on Apache Web
> > Server.
> >
> >          It's ok ?
> >
> > Thanks a lot.
> >
> > J.J.           
> >
> > -----Mensaje original-----
> > De: John Sage [mailto:jsage () finchhaven com]
> > Enviado el: Miércoles, 23 de Abril de 2003 10:10 p.m.
> > Para: Julio Jaime
> > CC: 'snort-users () lists sourceforge net'
> > Asunto: Re: [Snort-users] Relation between events and rules set.
> >
> >
> > Julio:
> >
> > Let's do a little trimming:
> >
> > On or about Wed, Apr 23, 2003 at 04:47:30PM -0300, Julio Jaime posited:
> >  
> >
> > > Hi all,
> > >
> > >     We are working on threath management system using snort +
> > > logsnorter + syslog servers, but the core is snort.
> > >    
> >
> > <snip>
> >
> >  
> >
> > >     I need know , how find the relation between the event and the
> > > set of rules that trigger it event.
> > >           
> > >    
> >
> > Is the question "which specific rule was triggered by a specific
> > event" ie: alert?
> >
> > cd /wherever_your_snort_rules_are/
> > grep 'insert_phrase_from_alert' *
> >
> > To wit:
> >
> > [**] [1:0:0] TCP inbound to 80 http [**]
> > [Priority: 0]
> > 04/21/03-18:07:00.234228 12.84.131.147:1894 -> 12.82.133.136:80
> > TCP TTL:120 TOS:0x0 ID:14681 IpLen:20 DgmLen:48 DF
> > ******S* Seq: 0xDEEB0032  Ack: 0x0  Win: 0x2238  TcpLen: 28
> > TCP Options (4) => MSS: 1460 NOP NOP SackOK
> >
> > [toot@tweedle /storage/snort]$ grep 'inbound to 80' *
> > tcp191-local.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET 80
> > (msg:"TCP inbound to 80 http";)
> >
> >
> >
> > - John
> >  
> >
> > ------------------------------------------------------------------------
> >
> > ****** Message from InterScan E-Mail VirusWall NT ******
> >
> > ** No virus found in attached file noname.htm
> >
> > Este correo ha sido revisado y esta libre de virus. Disclaimer
> > *****************     End of message     ***************
> >
> >  
>
> ------------------------------------------------------------------------
>
> ****** Message from InterScan E-Mail VirusWall NT ******
>
> ** No virus found in attached file noname.htm
>
> Este correo ha sido revisado y esta libre de virus. Disclaimer
> *****************     End of message     ***************
>
>