Dalam tutorial ini mode peringatan Snort akan dijelaskan untuk menginstruksikan Snort untuk melaporkan insiden dalam 5 cara berbeda (mengabaikan mode "tidak ada peringatan"), cepat, penuh, konsol, cmg, dan buka kunci.
Jika Anda tidak membaca artikel yang disebutkan di atas dan Anda tidak memiliki pengalaman sebelumnya dengan snort, silakan mulai dengan tutorial tentang instalasi dan penggunaan Snort dan lanjutkan dengan artikel tentang aturan sebelum melanjutkan kuliah ini. Tutorial ini mengasumsikan Anda sudah menjalankan Snort.
Untuk status let's Snort memiliki 6 mode alert:
Cepat: pada mode ini Snort akan melaporkan timestamp, alert message, IP source address dan port serta IP address dan port tujuan. (-Cepat)
Penuh: selain peringatan mode cepat, mode lengkap meliputi: TTL, paket IP dan panjang header IP, layanan, jenis ICMP, dan nomor urut. (-Penuh)
Menghibur: mencetak peringatan cepat di konsol. (-Sebuah konsol)
Cmg: Format ini dikembangkan oleh Snort untuk tujuan pengujian, ia mencetak peringatan penuh di konsol tanpa menyimpan laporan di log. (-Sebuah cmg)
Buka kunci: mengekspor laporan ke program lain melalui Unix Socket. (-Buka kaos kaki)
Tidak ada: Snort tidak akan menghasilkan peringatan. (-Tidak ada)
Semua mode peringatan didahului oleh a -SEBUAH yang merupakan parameter untuk peringatan. Peringatan disimpan di log /var/log/snort/peringatan. Aturan default snort mampu mendeteksi aktivitas tidak teratur seperti pemindaian port. Mari kita uji setiap mode peringatan:
Tes peringatan cepat:
snort -c /etc/snort/snort.conf -q -A cepat
Dimana:
mendengus= memanggil program
-c= path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q= mencegah snort menampilkan informasi awal
-SEBUAH= mendefinisikan mode peringatan, dalam hal ini cepat.
Sementara dari komputer yang berbeda saya memulai pemindaian nmap terhadap peringatan 1000 port teratas mulai masuk ke /var/log/snort/peringatan.
Tes peringatan penuh:
snort -c /etc/snort/snort.conf -q -A penuh
Dimana:
mendengus= memanggil program
-c= path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q= mencegah snort menampilkan informasi awal
-SEBUAH= mendefinisikan mode peringatan, dalam hal ini penuh.
Seperti yang Anda lihat, laporan tersebut memberikan informasi tambahan untuk yang cepat.
Tes peringatan konsol:
Dengan tes lansiran konsol, kami akan mendapatkan lansiran yang dicetak di konsol, untuk proses ini
snort -c /etc/snort/snort.conf -q -A konsol
Dimana:
mendengus= memanggil program
-c= path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q= mencegah snort menampilkan informasi awal
-SEBUAH= mendefinisikan mode peringatan, dalam hal ini konsol.
Seperti yang Anda lihat, informasi tercetak lebih dekat ke peringatan cepat daripada peringatan penuh.
Tes peringatan cmg:
Sekarang mari dapatkan laporan di konsol dengan informasi laporan lengkap dan banyak lagi. Mode ini dikembangkan untuk tujuan pengujian dan tidak mencatat hasil.
snort -c /etc/snort/snort.conf -q -A cmg
Dimana:
mendengus= memanggil program
-c= path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q= mencegah snort menampilkan informasi awal
-SEBUAH= mendefinisikan mode peringatan, dalam hal ini cmg.
Agar peringatan buka kunci berfungsi, Anda harus mengintegrasikannya ke program atau plugin pihak ketiga.
Mode peringatan default Snort adalah mode penuh, jika Anda tidak memerlukan informasi tambahan tentang puasa, maka mode cepat akan meningkatkan kinerja.
Saya harap tutorial ini membantu untuk memahami mode peringatan Snort.