[Suricata] Định dạng của thông điệp cảnh báo

30/12/2020

Sau khi cài đặt suricata làm IDS/IPS ta sẽ quan tâm đến những cảnh báo đối với hệ thống. Với suricata những cảnh báo này sẽ được ghi lại thành một file log. File log này mặc định nằm trong thư mục /var/log/suricata (ta cũng có thể thay đổi đường dẫn này trong file suricata.yaml). Khi một gói tin match với một rules của suricata (phát hiện tấn công) nó sẽ được ghi lại thành một bản tin log trong file fast.log có dạng như sau:

Time[**][gid:sid:rev]message[**][Classification][Priority][Protocol] Source-> Destination

Trong đó:

  • Time: Thời gian xảy ra cảnh báo
  • gid: Được sử dụng để nhóm các rule khác nhau. Mặc định sẽ nhận giá trị 1 nếu không được set trong rule
  • sid: Dùng để định danh một rule. Mỗi rule có một sid duy nhất
  • rev: Xác định số lần sửa đổi của 1 rule. Mỗi lần rule được thay đổi thì rev được tăng lên
  • message: Nội dung của cảnh báo
  • Classification: mô tả rule thuộc loại attack nào. Classtype được định nghĩa trong file classification.config
  • Priority: Thể hiện mức độ ưu tiên của cảnh báo. Thứ tự ưu tiên cao hơn sẽ được ưu tiên xử lý trước. Ví dụ 1 sẽ được ưu tiên hơn 2
  • Protocol: Giao thức của gói tin tcp, icmp…
  • Source: Địa chỉ nguồn của gói tin bao gồm IP và port
  • Destination: Địa chỉ đích của gói tin bao gồm IP và port

Ví dụ bản tin log như sau:

03/09/2020-22:27:13.111796 [**] [1:2001330:8] ET POLICY RDP connection confirm [**] [Classification: Misc activity] [Priority: 3] {TCP} 103.101.160.197:3389 -> 212.92.122.86:65125

Như bản tin trên ta nội dung của các trường như sau:

  • Time: 03/09/2020-22:27:13.111796
  • gid: 1
  • sid: 2001330
  • rev: 8
  • message: ET POLICY RDP connection confirm
  • Classification: Misc activity
  • Priority: 3
  • Protocol: TCP
  • Source: 103.101.160.197:3389
  • Destination: 212.92.122.86:65125

Với bản tin trên ta có thể xác định attacker đang cố tình bufforce RDP đến server của ta qua port 3389 và server của ta đang gửi lại gói tin đến attacker để yêu cầu nhập password.

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Hướng dẫn cài đặt Pritunl VPN

Pritunl là phần mềm mã nguồn mở được sử dụng để ảo hóa VPN server trên hạ tầng các trung...
30/12/2020

Hướng dẫn cài đặt Galera 3 node trên CentOS 7

Tổng quan MariaDB là một sản phẩm mã đóng tách ra từ mã mở do cộng đồng phát triển của hệ...
30/12/2020

[Graylog] [LAB] [Phần 10] Cấu hình Graylog server tích hợp cảnh báo qua Telegram

Chắc hẳn có rất nhiều bạn đang sử dụng ứng dụng Telegram để trò chuyện, trao đổi thông tin....
30/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

 BitBrowser – Best Anti-Detect Browser!
26/05/2025

Dịch Vụ Xây Dựng Hệ Thống Peering Với Internet Exchange (IXP)
04/04/2025

Dịch Vụ Triển Khai VPN Site-to-Site & Remote Access
04/04/2025

Dịch Vụ Thiết Lập Hệ Thống Tường Lửa (Firewall)
04/04/2025

Dịch Vụ Triển Khai Hệ Thống Ảo Hóa & Cloud
04/04/2025