[Suricata] Định dạng của thông điệp cảnh báo

30/12/2020

Sau khi cài đặt suricata làm IDS/IPS ta sẽ quan tâm đến những cảnh báo đối với hệ thống. Với suricata những cảnh báo này sẽ được ghi lại thành một file log. File log này mặc định nằm trong thư mục /var/log/suricata (ta cũng có thể thay đổi đường dẫn này trong file suricata.yaml). Khi một gói tin match với một rules của suricata (phát hiện tấn công) nó sẽ được ghi lại thành một bản tin log trong file fast.log có dạng như sau:

Time[**][gid:sid:rev]message[**][Classification][Priority][Protocol] Source-> Destination

Trong đó:

  • Time: Thời gian xảy ra cảnh báo
  • gid: Được sử dụng để nhóm các rule khác nhau. Mặc định sẽ nhận giá trị 1 nếu không được set trong rule
  • sid: Dùng để định danh một rule. Mỗi rule có một sid duy nhất
  • rev: Xác định số lần sửa đổi của 1 rule. Mỗi lần rule được thay đổi thì rev được tăng lên
  • message: Nội dung của cảnh báo
  • Classification: mô tả rule thuộc loại attack nào. Classtype được định nghĩa trong file classification.config
  • Priority: Thể hiện mức độ ưu tiên của cảnh báo. Thứ tự ưu tiên cao hơn sẽ được ưu tiên xử lý trước. Ví dụ 1 sẽ được ưu tiên hơn 2
  • Protocol: Giao thức của gói tin tcp, icmp…
  • Source: Địa chỉ nguồn của gói tin bao gồm IP và port
  • Destination: Địa chỉ đích của gói tin bao gồm IP và port

Ví dụ bản tin log như sau:

03/09/2020-22:27:13.111796 [**] [1:2001330:8] ET POLICY RDP connection confirm [**] [Classification: Misc activity] [Priority: 3] {TCP} 103.101.160.197:3389 -> 212.92.122.86:65125

Như bản tin trên ta nội dung của các trường như sau:

  • Time: 03/09/2020-22:27:13.111796
  • gid: 1
  • sid: 2001330
  • rev: 8
  • message: ET POLICY RDP connection confirm
  • Classification: Misc activity
  • Priority: 3
  • Protocol: TCP
  • Source: 103.101.160.197:3389
  • Destination: 212.92.122.86:65125

Với bản tin trên ta có thể xác định attacker đang cố tình bufforce RDP đến server của ta qua port 3389 và server của ta đang gửi lại gói tin đến attacker để yêu cầu nhập password.

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Hướng dẫn sử dụng Webinoly

Webinoly cung cấp một bộ công cụ rất tiện lợi giúp việc tạo và quản trị website. Với webinoly...
30/12/2020

[CI/CD] Phần 3: Hướng dẫn tích hợp Jenkins và Gitlab

Chắc hẳn các bạn đã nghe tới 2 khái niệm CI và CD và muốn tự động hóa một phần hoặc hoàn...
30/12/2020

Configuring Static IP on CentOS 8

In this article, I am going to show you how to configure static IP address on CentOS 8 using graphical desktop environment...
29/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

mua Proxy riêng ở đâu, và nó đem lại lợi ích gì cho người sử dụng
22/11/2022

Hướng dẫn sử dụng Proxy Helper Fakeip khi thuê proxy
21/11/2022

PROXY NUÔI TÀI KHOẢN FACEBOOK – KINH NGHIỆM FAKE IP – THUÊ PROXY GIÁ RẺ
14/11/2022

Mua Proxy Nuôi Zalo Giá Rẻ Tại Onet.com.vn
14/11/2022

BẢNG GIÁ MUA PROXY VIỆT NAM và PROXY US Onet.com.vn
14/11/2022