Decoder: Analizadores Snort

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Las reglas y la configuración de Snort® se agregan al directorio parsers/snort para Investigation y Decoder. Decoder es compatible con las funcionalidades de detección de carga útil de las reglas de Snort. Los archivos de reglas deben tener la extensión .rules y los archivos de configuración, la extensión .conf. La implementación de Decoder de reglas de Snort se centra en el uso de las cadenas de contenido definidas en una regla de Snort como un token. Cuando hay coincidencia con un token, se pueden evaluar el encabezado y las opciones adicionales de la regla. Actualmente, las reglas que no definen ningún contenido (a través de opciones de regla de content o uricontent) no son compatibles.

Configuración

Los archivos de configuración se cargan antes de que se carguen las reglas.

                                           

Opciones de configuración

Descripción

Definiciones de variables

Descripción

ipvar Es compatible el lenguaje completo para definir variables de direcciones IP, lo que incluye listas, CIDR y negación.
portvar Es compatible el lenguaje completo para definir variables de direcciones IP, lo que incluye listas, rangos y negación.
var No es compatible; use ipvar o portvar.

Definiciones de acciones

Descripción

ruletype Es compatible la definición de ruletypes adicionales. Sin embargo, solamente son compatibles las reglas que tienen un tipo de regla base de alert.

Configuración general

Descripción

nopcre Esta opción de configuración deshabilita todas las reglas con pcre.

Reglas

Las reglas de Snort se analizan y se cargan cuando se carga PCS (cualquier importación o captura en Investigator, comienzo de captura inicial y recarga de analizador en Decoder).

  • No se hace caso de las reglas que no se analizan correctamente.
  • Las reglas de Snort válidas se deben analizar correctamente; sin embargo, hay opciones de reglas que no son compatibles con Decoder, las cuales no se analizan por completo.
                                   

Sección

Descripción

EncabezadoLas condiciones del encabezado se evalúan cuando una regla recibe la primera devolución de llamada de token para un flujo. El encabezado se evalúa una vez por flujo e impide cualquier consideración adicional de una regla contra un flujo específico si no se cumplen las condiciones.
AccionesSe debe definir la acción especificada o una regla (ya sea una de las acciones nativas de Snort o definidas en la configuración mediante la instrucción ruletype) para que la regla se considere válida. Decoder utiliza solamente reglas con acciones de alerta.
ProtocolosDecoder es compatible con las palabras clave del protocolo Snort actual (tcp, udp, icmp y ip).
Direcciones IPEs compatible el lenguaje completo para definir direcciones IP, lo que incluye listas, CIDR y negación.
Números de puertoEs compatible el lenguaje completo para definir números de puerto, lo que incluye listas, rangos y negación.
Operador de direcciónEl operador direccional es compatible con los valores desde-hasta (“->”) y bidireccional (“<>”). El valor hasta-desde (“<-”) no es válido y hará que la regla no se cargue.

Opciones generales

Decoder utiliza las siguientes opciones generales de reglas de Snort:

                           

Opción

Descripción

msg

Si la regla coincide, el valor msg se agrega como los metadatos risk.info, risk.warning o risk.suspicious, según la prioridad de la regla.

sid Si la regla coincide, el valor sid se agrega como metadatos.

classtype

Si la regla coincide, el nombre classtype se agrega como los metadatos threat.cat.

priority Si la regla coincide y tiene una opción priority, se utiliza para determinar el tipo de metadatos de riesgo asociados con el valor msg.

Opciones de carga útil

Decoder es compatible con las siguientes opciones de reglas de carga útil.

                                               

Opción

Descripción

content La opción content crea un token con el cual debe coincidir Decoder. Se aceptan solamente tokens de tres o más bytes. También es importante tener en cuenta que Decoder difiere de Snort en que las reglas se evalúan a través de la carga útil del flujo reconstruido y no solo de un único paquete. Esto puede dar lugar a diferencias en las coincidencias de reglas entre Snort y Decoder, especialmente cuando se consideran opciones posicionales.

nocase

No es compatible actualmente. No se hace caso de esta opción se omite y se utiliza la coincidencia que distingue mayúsculas de minúsculas.

depth Esta opción se aplica a la distancia del token desde el principio del flujo. Si la posición del token es mayor que este valor, no es una coincidencia.

offset

Esta opción se aplica a la distancia del token desde el principio del flujo. Si la posición del token es menor que este valor, no es una coincidencia.

distance Esta opción se aplica a la distancia del token desde el final de la coincidencia con el token anterior. Si la posición relativa del token es menor que este valor, no es una coincidencia.

within

Esta opción se aplica a la distancia del token desde el final de la coincidencia con el token anterior. Si la posición relativa del token es mayor que este valor, no es una coincidencia.

http_uri Se verifica que cualquier token que coincida esté dentro de http_uri, según lo indica el analizador HTTP. No se aplica ninguna normalización de URI.

uricontent

No se aplica ninguna normalización de URI. De lo contrario, esto equivale a la opción content con el modificador http_uri.

pcre Actualmente, las PCRE se aplican solamente a los URI y deben especificar la opción U.

Opciones no relacionadas con la carga útil

                                                       

Opción

Descripción

flow Verifica que la regla se aplique solamente al flujo de cliente o servidor.

to_client

Limita la regla a la coincidencia únicamente con un flujo que Decoder haya definido como servidor.

from_server Sinónimo de to_client.

from_client

Limita la regla a la coincidencia únicamente con un flujo que Decoder haya definido como cliente.

flowbits

Mantiene el estado por sesión y se restablece al final de cada sesión.

set Cuando la regla coincide, el flowbit especificado se establece.

unset

Cuando la regla coincide, el flowbit especificado se borra.

toggle Cuando la regla coincide, el flowbit especificado se alterna.

isset

Cuando se evalúa la regla, el estado del flowbit especificado se debe establecer para que la regla coincida.

isnotset Cuando se evalúa la regla, el estado del flowbit especificado no se debe establecer para que la regla coincida.

noalert

Impide que la regla genere metadatos en caso de que coincida.

Previous Topic:Analizadores Lua
You are here
Table of Contents > Referencias de feed y analizador > Analizadores Snort

Attachments

    Outcomes