[Suricata] Định dạng của thông điệp cảnh báo

30/12/2020

Sau khi cài đặt suricata làm IDS/IPS ta sẽ quan tâm đến những cảnh báo đối với hệ thống. Với suricata những cảnh báo này sẽ được ghi lại thành một file log. File log này mặc định nằm trong thư mục /var/log/suricata (ta cũng có thể thay đổi đường dẫn này trong file suricata.yaml). Khi một gói tin match với một rules của suricata (phát hiện tấn công) nó sẽ được ghi lại thành một bản tin log trong file fast.log có dạng như sau:

Time[**][gid:sid:rev]message[**][Classification][Priority][Protocol] Source-> Destination

Trong đó:

  • Time: Thời gian xảy ra cảnh báo
  • gid: Được sử dụng để nhóm các rule khác nhau. Mặc định sẽ nhận giá trị 1 nếu không được set trong rule
  • sid: Dùng để định danh một rule. Mỗi rule có một sid duy nhất
  • rev: Xác định số lần sửa đổi của 1 rule. Mỗi lần rule được thay đổi thì rev được tăng lên
  • message: Nội dung của cảnh báo
  • Classification: mô tả rule thuộc loại attack nào. Classtype được định nghĩa trong file classification.config
  • Priority: Thể hiện mức độ ưu tiên của cảnh báo. Thứ tự ưu tiên cao hơn sẽ được ưu tiên xử lý trước. Ví dụ 1 sẽ được ưu tiên hơn 2
  • Protocol: Giao thức của gói tin tcp, icmp…
  • Source: Địa chỉ nguồn của gói tin bao gồm IP và port
  • Destination: Địa chỉ đích của gói tin bao gồm IP và port

Ví dụ bản tin log như sau:

03/09/2020-22:27:13.111796 [**] [1:2001330:8] ET POLICY RDP connection confirm [**] [Classification: Misc activity] [Priority: 3] {TCP} 103.101.160.197:3389 -> 212.92.122.86:65125

Như bản tin trên ta nội dung của các trường như sau:

  • Time: 03/09/2020-22:27:13.111796
  • gid: 1
  • sid: 2001330
  • rev: 8
  • message: ET POLICY RDP connection confirm
  • Classification: Misc activity
  • Priority: 3
  • Protocol: TCP
  • Source: 103.101.160.197:3389
  • Destination: 212.92.122.86:65125

Với bản tin trên ta có thể xác định attacker đang cố tình bufforce RDP đến server của ta qua port 3389 và server của ta đang gửi lại gói tin đến attacker để yêu cầu nhập password.

Sandclock IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, Sandclock IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Tìm hiểu về công nghệ Livestream

Livestream hay streaming video ngày nay đã là những thuật ngữ không còn xa lạ trong đời sống hàng...
30/12/2020

Disable IPv6 on CentOS 8

In this article, I am going to show you how to disable IPv6 on CentOS 8. So, let’s get started. Checking for IPv6 Availability: You...
29/12/2020

How to Use EPEL on CentOS 7

The full form of EPEL is Extra Packages for Enterprise Linux. It is software package repository for Red Hat Enterprise...
29/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Hướng dẫn chuyển đổi windows server windows evaluation to standard và active windows server 2008 + 2012 + 2016 + 2019
26/10/2021

How to Update Ubuntu Linux
24/10/2021

Squid Proxy Manager cài đặt và quản lý Proxy Squid tự động trên ubuntu
20/10/2021

Hướng dẫn cài đặt Apache CloudStack 4.15.2.0
19/10/2021

Hướng dẫn ký file PDF bằng chữ ký số (chữ ký điện tử) và sửa lỗi mới nhất 2021 foxit reader
19/10/2021