Decoder : Parsers Snort

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Les règles et la parsers/snort configuration Snort® sont ajoutées au répertoire pour la procédure d'enquête et le Decoder. Le Decoder prend en charge les capacités de détection de charge utile des règles Snort. Les fichiers de règles doivent avoir l'extension .rules et les fichiers de configuration doivent avoir l'extension .conf. L'implémentation par le Decoder des règles Snort est centrée sur l'utilisation des chaînes de contenu définies dans une règle Snort en tant que token. Une fois qu'un token est associé, l'en-tête de règle et les options de règle supplémentaires peuvent être évalués. Actuellement, les règles qui ne définissent pas de contenu (via les options de règle content ou uricontent) ne sont pas prises en charge.

Configuration

Les fichiers de configuration sont chargés avant les règles de chargement.

                                           

Options de configuration

Description

Définitions de variable

Description

ipvar Le langage complet de définition des variables d'adresse IP est pris en charge, y compris les listes, CIDR et la négation.
portvar Le langage complet de définition des variables d'adresse IP est pris en charge, y compris les listes, les plages et la négation.
var Non supporté ; utiliser ipvar ou portvar.

Définitions d’action

Description

ruletype La définition de ruletypes supplémentaire est prise en charge. Toutefois, seules les règles qui ont un type de règle de base alert sont prises en charge.

Configuration générale

Description

nopcre Cette option de configuration désactive toutes les règles avec pcre.

Règles

Les règles Snort sont analysées et chargées lorsque PCS est chargé (toute importation ou capture dans I'Enquêteur, début de capture initiale et recharge du parser dans Decoder).

  • Toute règle qui n'est pas correctement analysée est ignorée.
  • Toute règle Snort valide doit effectuer des analyses réussies ; toutefois, il existe des options de règle, qui ne sont pas prises en charge par Decoder, qui ne sont pas entièrement analysées.
                                   

Section

Description

En-têteLes conditions d'en-tête sont évaluées lorsqu'une règle reçoit le premier rappel de token pour un flux. L'en-tête est évalué une fois par flux et empêche toute prise en compte d'une règle par rapport à un flux spécifique si les conditions ne sont pas remplies.
ActionsL'action spécifiée ou une règle doit être définie (soit l'une des actions Snort natives, soit définie dans la configuration à l'aide de l'instruction ruletype) pour que la règle soit considérée comme valide. Decoder utilise uniquement des règles avec des actions d'alerte.
ProtocolesDecoder prend en charge les mots clés du protocole Snort actuel (tcp, udp, icmp, ip).
Adresses IPLe langage complet de définition des adresses IP est pris en charge, y compris les listes, CIDR et la négation.
Numéros de portLe langage complet pour la définition des numéros de port est pris en charge, y compris les listes, les plages et la négation.
Opérateur directionnelL'opérateur directionnel prend en charge les valeurs from-to ('->') et bidirectionnelles (‘<>’). La valeur to-from ('<-') n'est pas valide et entraînera un échec du chargement de la règle.

Options générales

Decoder utilise les options de règle générales Snort suivantes :

                           

Option

Description

msg

Si la règle correspond, la valeur msg est ajoutée en tant que métadonnée risk.info, risk.warning ou risk.suspicious, selon la priorité de la règle.

sid Si la règle correspond, la valeur sid est ajoutée en tant que métadonnée.

classtype

Si la règle correspond, le nom classtype est ajouté en tant que métadonnée threat.cat.

priority Si la règle correspond et qu'elle a une option priority, elle est utilisée pour déterminer le type de métadonnée à risque associé à la valeur msg.

Options de charge utile

Decoder prend en charge les options de règle de charge utile suivantes.

                                               

Option

Description

content L'option content crée un token pour faire correspondre Decoder. Seuls les tokens de trois octets ou plus sont acceptés. Il est également important de noter que Decoder diffère de Snort en ce que les règles sont évaluées par rapport à la charge utile du flux reconstruit et non pas seulement d’un seul paquet. Cela peut entraîner des différences dans les correspondances de règles entre Snort et Decoder, en particulier lors de l'examen des options de position.

nocase

Actuellement non pris en charge. Cette option est ignorée et la sensibilité à la casse est utilisée.

depth Cette option est appliquée à la distance du token depuis le début du flux. Si la position du token est supérieure à cette valeur, il ne s’agit pas d’une correspondance.

offset

Cette option est appliquée à la distance du token depuis le début du flux. Si la position du token est inférieure à cette valeur, il ne s’agit pas d’une correspondance.

distance Cette option est appliquée à la distance du token depuis la fin de la correspondance de token précédente. Si la position de token relative est inférieure à cette valeur, il ne s’agit pas d’une correspondance.

within

Cette option est appliquée à la distance du token depuis la fin de la correspondance de token précédente. Si la position de token relative est supérieure à cette valeur, il ne s’agit pas d’une correspondance.

http_uri Tout token qui se démarque est vérifié afin qu’il s’inscrive dans les limites de http_uri, comme indiqué par le parser HTTP. Aucune normalisation d'URI n'est appliquée.

uricontent

Aucune normalisation d'URI n'est appliquée. Sinon, cela équivaut à l'option de contenu avec le modificateur http_uri.

pcre Actuellement, les PCREs ne sont appliqués qu'aux URI et doivent spécifier l'option U.

Options non liées à la charge utile

                                                       

Option

Description

flow Vérifie que la règle est appliquée uniquement au flux de client ou de serveur.

to_client

Limite la règle à la correspondance uniquement sur un flux défini par Decoder comme étant un flux serveur.

from_server Synonyme de to_client.

from_client

Limite la règle à la correspondance uniquement sur un flux défini par Decoder comme étant un flux client.

flowbits

Maintient un état de session et sont réinitialisés à la fin de chaque session.

set Lorsque la règle correspond, le flowbit spécifié est défini.

unset

Lorsque la règle correspond, le flowbit spécifié est effacé.

toggle Lorsque la règle correspond, le flowbit spécifié est inversé.

isset

Lorsque la règle est évaluée, l'état du flowbit spécifié doit être défini pour que la règle corresponde.

isnotset Lorsque la règle est évaluée, l'état du flowbit spécifié ne doit pas être défini pour que la règle corresponde.

noalert

Empêche la règle de générer des métadonnées si elle correspond.

Previous Topic:Parsers Lua
Next Topic:Parser Search
You are here
Table of Contents > Références de feed et d’analyseur > Parsers Snort

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (French)81 Views
      Last modified on Apr 28, 2019 3:29 PM
      Ratings: