Untitled DocumentSnortのルール Snortには、たくさんのルール作成方法があり、全てを理解するのは、かなり難しいです。けれど、うまく使えれば、欲しいログだけを綺麗に取れると思います。 ルールは ①ルールアクション部 ②プロトコル部 ③アドレス部 ④ポート番号部 ⑤パケット方向部 ⑥オプション部 の6つから成り立っています。 web-iis.rulesのファイルの中に ①alert ②tcp ③$EXTERNAL_NET ④any -> ⑤$HTTP_SERVERS ⑥$HTTP_PORTS (⑦msg:"WEB-IIS cmd.exe access"; ⑧flags:A+; ⑨content:"cmd.exe"; ⑩nocase; classtype:web-application-attack; ⑪sid:1002; rev:5;) のシグネチャがあります。 上記の例ですとルールアクション部は①、プ
