Snort findet die Warndatei DATA mit snort.logs.xxxxxxx

Question

Wie Sie sagten, protokolliert Snort standardmäßig auf zwei Arten:

alertDatei - Enthält Alarmmetadaten im Textformat
snort.log.##########- PCAP der Pakete, die den Alarm ausgelöst haben

Ich würde dazu (nur mit grundlegenden Linux-Bash-Befehlen) folgendermaßen vorgehen:

Der Single-Alert-Ansatz

So suchen Sie nach Warnmeldungseinträgen:

Durchsuchen Sie die alertDatei. Sie können mit nach IP-Adresse oder Alarmnamen suchen grep.

grep "PATTERN" /var/log/snort/alert

Eine typische Protokolleintragszeile würde folgendermaßen aussehen:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

So finden Sie die entsprechende PCAP-Datei:

Um dann herauszufinden, welche Datei geschrieben wurde, können Sie sich entweder die Änderungszeiten in einer langen Verzeichnisliste ( ls -l) ansehen oder den Zeitstempel (vergessen Sie nicht, das Jahr hinzuzufügen und ein Leerzeichen zwischen Datum und Uhrzeit einzufügen) mit dem folgenden Befehl in die Epochenzeit umwandeln:

date "+%s" -d "01/04/2018 03:28:11.959559"

Ausgabe:

1515054491

Suchen Sie dann nach einer Datei namens snort.log.1515054491. Diese sollte die PCAP-Daten enthalten.

Wenn Sie mehrere Protokolle für eine IP-Adresse benötigen

Dies ist der Vorschlaghammer-Ansatz. Wenn sie Einträge aus beiden Dateien nur zu einer einzigen IP-Adresse wünschen, würde ich Folgendes tun:

Warnungsdateieinträge

Suchen Sie mit Grep nach der IP-Adresse und schreiben Sie die Ausgabe dann in eine separate Datei.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Dadurch sollten nur die Zeilen gefiltert werden, in denen die IP-Adresse erscheint, und diese in eine neue Datei umgeleitet werden, die Sie dem Sicherheitsteam zur Verfügung stellen können.

PCAP-Dateien

Ich würde dabei vorsichtig sein, da das Snort-Protokollverzeichnis sehr groß sein kann und das Durchlaufen einer großen Gruppe von Dateien ein System belasten könnte (insbesondere, wenn es sich um einen Sensor mit sehr hohem Datenaufkommen handelt). Ich würde empfehlen, eine Dateimaske für einen ungefähren Zeitrahmen für die gesuchten Daten zu verwenden. Denken Sie daran, dass dieser Zeitrahmen im Epochenformat vorliegen muss.

Angenommen, das Team möchte alles von jetzt an bis vor einer Stunde (3600 Sekunden). Der Epochenzeitstempel ist 1515054491. Wenn Sie davon 3600 abziehen, erhalten Sie 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Ich würde dann eine For-Schleife erstellen, um alle diese Dateien zu durchlaufen, und einen TCPdump-Befehl ausführen, um nur nach der betreffenden IP-Adresse zu filtern.

tcpdump -r infile -w outfile "BPF"

Die Optionen:

-r dient zum Lesen aus einer Datei (im Gegensatz zum Starten einer Live-Aufnahme über eine Schnittstelle)
-w dient zum Schreiben der Ausgabe in eine Datei
„BPF“ – Berkley-Paketfilter (In diesem Fall wäre es „Host 192.168.1.1“, um alle Pakete mit dieser IP anzugeben.)

Und jetzt die For-Schleife:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

Und jetzt sollten Sie eine Kopie aller Ihrer Warndateien im /tmpOrdner haben, aber nur mit Daten, die sich auf diese bestimmte IP-Adresse beziehen. Wenn Sie diese mergecapinstalliert haben, würde ich empfehlen, alle diese Dateien wie folgt in einer einzigen PCAP-Datei zu kombinieren:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Sie sollten nun zwei Dateien haben /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Stellen Sie diese Dateien dann Ihrem Sicherheitsteam zur Verfügung.

Answer 1

Wie Sie sagten, protokolliert Snort standardmäßig auf zwei Arten:

alertDatei - Enthält Alarmmetadaten im Textformat
snort.log.##########- PCAP der Pakete, die den Alarm ausgelöst haben

Ich würde dazu (nur mit grundlegenden Linux-Bash-Befehlen) folgendermaßen vorgehen:

Der Single-Alert-Ansatz

So suchen Sie nach Warnmeldungseinträgen:

Durchsuchen Sie die alertDatei. Sie können mit nach IP-Adresse oder Alarmnamen suchen grep.

grep "PATTERN" /var/log/snort/alert

Eine typische Protokolleintragszeile würde folgendermaßen aussehen:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

So finden Sie die entsprechende PCAP-Datei:

Um dann herauszufinden, welche Datei geschrieben wurde, können Sie sich entweder die Änderungszeiten in einer langen Verzeichnisliste ( ls -l) ansehen oder den Zeitstempel (vergessen Sie nicht, das Jahr hinzuzufügen und ein Leerzeichen zwischen Datum und Uhrzeit einzufügen) mit dem folgenden Befehl in die Epochenzeit umwandeln:

date "+%s" -d "01/04/2018 03:28:11.959559"

Ausgabe:

1515054491

Suchen Sie dann nach einer Datei namens snort.log.1515054491. Diese sollte die PCAP-Daten enthalten.

Wenn Sie mehrere Protokolle für eine IP-Adresse benötigen

Dies ist der Vorschlaghammer-Ansatz. Wenn sie Einträge aus beiden Dateien nur zu einer einzigen IP-Adresse wünschen, würde ich Folgendes tun:

Warnungsdateieinträge

Suchen Sie mit Grep nach der IP-Adresse und schreiben Sie die Ausgabe dann in eine separate Datei.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Dadurch sollten nur die Zeilen gefiltert werden, in denen die IP-Adresse erscheint, und diese in eine neue Datei umgeleitet werden, die Sie dem Sicherheitsteam zur Verfügung stellen können.

PCAP-Dateien

Ich würde dabei vorsichtig sein, da das Snort-Protokollverzeichnis sehr groß sein kann und das Durchlaufen einer großen Gruppe von Dateien ein System belasten könnte (insbesondere, wenn es sich um einen Sensor mit sehr hohem Datenaufkommen handelt). Ich würde empfehlen, eine Dateimaske für einen ungefähren Zeitrahmen für die gesuchten Daten zu verwenden. Denken Sie daran, dass dieser Zeitrahmen im Epochenformat vorliegen muss.

Angenommen, das Team möchte alles von jetzt an bis vor einer Stunde (3600 Sekunden). Der Epochenzeitstempel ist 1515054491. Wenn Sie davon 3600 abziehen, erhalten Sie 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Ich würde dann eine For-Schleife erstellen, um alle diese Dateien zu durchlaufen, und einen TCPdump-Befehl ausführen, um nur nach der betreffenden IP-Adresse zu filtern.

tcpdump -r infile -w outfile "BPF"

Die Optionen:

-r dient zum Lesen aus einer Datei (im Gegensatz zum Starten einer Live-Aufnahme über eine Schnittstelle)
-w dient zum Schreiben der Ausgabe in eine Datei
„BPF“ – Berkley-Paketfilter (In diesem Fall wäre es „Host 192.168.1.1“, um alle Pakete mit dieser IP anzugeben.)

Und jetzt die For-Schleife:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

Und jetzt sollten Sie eine Kopie aller Ihrer Warndateien im /tmpOrdner haben, aber nur mit Daten, die sich auf diese bestimmte IP-Adresse beziehen. Wenn Sie diese mergecapinstalliert haben, würde ich empfehlen, alle diese Dateien wie folgt in einer einzigen PCAP-Datei zu kombinieren:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Sie sollten nun zwei Dateien haben /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Stellen Sie diese Dateien dann Ihrem Sicherheitsteam zur Verfügung.

Snort findet die Warndatei DATA mit snort.logs.xxxxxxx

Antwort1

Der Single-Alert-Ansatz

So suchen Sie nach Warnmeldungseinträgen:

So finden Sie die entsprechende PCAP-Datei:

Wenn Sie mehrere Protokolle für eine IP-Adresse benötigen

Warnungsdateieinträge

PCAP-Dateien

verwandte Informationen