0

我不知道这个问题是否被认为与编程有关,但无论如何我都会尝试。我是 Alienvault OSSIM 系统的新手。我正在尝试学习如何制定自己的规则,但不幸的是我遇到了一些困难。我在 Snort 规则文件夹内的规则文件“local.rules”中创建了一个简单的规则。

alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

此规则在从任何机器到任何机器的 icmp ping 后触发。我检查了 Snort 是否处理此规则,并且确实它的记录出现在 snort 日志文件中。

从我对此进行的搜索中,我意识到在更改规则文件后,我必须运行下面的脚本来映射规则文件。

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

然后我在 local_rules.xml 文件中创建了以下 OSSIM 规则:

<group name="local,syslog,">
    <rule id="100020" level="2">
      <if_sid>250888</if_sid>
      <description>it's a new rule that i write myself!!</description>
    </rule>
</group>

系统重新启动后,我向机器发送了一些 ping,但该规则没有出现在警报日志中。在 OSSIM 系统错误日志中会出现:

2014/08/06 11:30:59 rules_list: Signature ID '250888' not found. Invalid 'if_sid'.

有人可以向我解释我做错了什么吗?

4

2 回答 2

0

我不熟悉 Alienvault OSSIM 系统,但从 snort 的角度来看,这是本地规则的无效 sid。本地规则的 SID 必须 >= 1,000,000,因为这些是为 Snort 分发中包含的规则保留的 (请参阅此处的文档)。也许尝试将 sid 更改为 1000000 (如果您想保留 250888 部分,则为 1250888 )。

于 2014-08-08T01:50:06.293 回答
0

如果您在 snort 中创建规则,则无需创建规则 local_rules.xml

在你改变了 snort 的 local.rules 之后

any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

并执行此命令

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

转到 Web 界面 > 配置 > 威胁情报 > 数据源 > 数据源 id 1001

在搜索输入中写下你的规则的 sid (250888),你会发现你是规则

于 2015-05-06T11:39:32.477 回答