Snort encuentra el archivo de alerta DATA con snort.logs.xxxxxxx

Question

Como dijiste, de forma predeterminada, Snort registrará dos maneras:

alertarchivo: contiene metadatos de alerta en formato de texto
snort.log.##########- PCAP del paquete que activó la alerta

La forma en que haría esto (solo con comandos básicos de bash de Linux) sería:

El enfoque de alerta única

Para buscar entradas de alerta:

Busque el alertarchivo. Puede buscar por dirección IP o por nombre de alerta usando grep.

grep "PATTERN" /var/log/snort/alert

Una línea de entrada de registro típica se vería así:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

Para encontrar el archivo PCAP correspondiente:

Luego, para determinar qué archivo se escribió, puede mirar las horas de modificación en una lista larga del directorio ( ls -l), o puede convertir la marca de tiempo (no olvide agregar el año y dejar un espacio entre la fecha y la hora). ) a la época del tiempo usando el siguiente comando:

date "+%s" -d "01/04/2018 03:28:11.959559"

Producción:

1515054491

Luego busque un archivo llamado snort.log.1515054491. Eso debería contener los datos PCAP.

Si necesita varios registros para una dirección IP

Este es el enfoque del mazo. Si quieren entradas de ambos archivos que solo pertenezcan a una única dirección IP, esto es lo que yo haría:

Entradas de archivos de alerta

Busque la dirección IP y luego escriba el resultado en un archivo separado.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Eso debería filtrar solo las líneas donde aparece la dirección IP y redirigirla a un nuevo archivo que puede proporcionarle al equipo de seguridad.

Archivos PCAP

Yo tendría cuidado al hacer esto ya que el directorio de registro de snort puede ser muy grande y la iteración sobre un grupo grande de archivos podría ejercer presión sobre un sistema (especialmente si se trata de un sensor con un volumen de tráfico muy alto). Recomendaría usar una máscara de archivo para un período de tiempo aproximado para los datos que está buscando. Tenga en cuenta que este período de tiempo debe estar en formato de época.

Digamos que el equipo quiere que todo desde ahora se remonte hace una hora (3600 segundos). La marca de tiempo de la época es 1515054491. Resta 3600 de eso y obtendrás 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Luego crearía un bucle for para recorrer todos esos archivos y realizaría un comando tcpdump para filtrar solo en la dirección IP en cuestión.

tcpdump -r infile -w outfile "BPF"

Las opciones:

-r es para leer desde un archivo (en lugar de iniciar una captura en vivo desde una interfaz)
-w es para escribir la salida en un archivo
"BPF": filtro de paquetes de Berkley (en este caso, sería "host 192.168.1.1" para especificar cualquier paquete con esa IP).

Y ahora el bucle for:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

Y ahora debería tener una copia de todos sus archivos de alerta en la /tmpcarpeta, pero solo con los datos relacionados con esa dirección IP específica. Si lo ha mergecapinstalado, recomendaría combinarlos todos en un solo archivo PCAP usando lo siguiente:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Debes saber que tienes dos archivos en /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Luego, proporcione esos archivos a su equipo de seguridad.

Answer 1

Como dijiste, de forma predeterminada, Snort registrará dos maneras:

alertarchivo: contiene metadatos de alerta en formato de texto
snort.log.##########- PCAP del paquete que activó la alerta

La forma en que haría esto (solo con comandos básicos de bash de Linux) sería:

El enfoque de alerta única

Para buscar entradas de alerta:

Busque el alertarchivo. Puede buscar por dirección IP o por nombre de alerta usando grep.

grep "PATTERN" /var/log/snort/alert

Una línea de entrada de registro típica se vería así:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

Para encontrar el archivo PCAP correspondiente:

Luego, para determinar qué archivo se escribió, puede mirar las horas de modificación en una lista larga del directorio ( ls -l), o puede convertir la marca de tiempo (no olvide agregar el año y dejar un espacio entre la fecha y la hora). ) a la época del tiempo usando el siguiente comando:

date "+%s" -d "01/04/2018 03:28:11.959559"

Producción:

1515054491

Luego busque un archivo llamado snort.log.1515054491. Eso debería contener los datos PCAP.

Si necesita varios registros para una dirección IP

Este es el enfoque del mazo. Si quieren entradas de ambos archivos que solo pertenezcan a una única dirección IP, esto es lo que yo haría:

Entradas de archivos de alerta

Busque la dirección IP y luego escriba el resultado en un archivo separado.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Eso debería filtrar solo las líneas donde aparece la dirección IP y redirigirla a un nuevo archivo que puede proporcionarle al equipo de seguridad.

Archivos PCAP

Yo tendría cuidado al hacer esto ya que el directorio de registro de snort puede ser muy grande y la iteración sobre un grupo grande de archivos podría ejercer presión sobre un sistema (especialmente si se trata de un sensor con un volumen de tráfico muy alto). Recomendaría usar una máscara de archivo para un período de tiempo aproximado para los datos que está buscando. Tenga en cuenta que este período de tiempo debe estar en formato de época.

Digamos que el equipo quiere que todo desde ahora se remonte hace una hora (3600 segundos). La marca de tiempo de la época es 1515054491. Resta 3600 de eso y obtendrás 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Luego crearía un bucle for para recorrer todos esos archivos y realizaría un comando tcpdump para filtrar solo en la dirección IP en cuestión.

tcpdump -r infile -w outfile "BPF"

Las opciones:

-r es para leer desde un archivo (en lugar de iniciar una captura en vivo desde una interfaz)
-w es para escribir la salida en un archivo
"BPF": filtro de paquetes de Berkley (en este caso, sería "host 192.168.1.1" para especificar cualquier paquete con esa IP).

Y ahora el bucle for:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

Y ahora debería tener una copia de todos sus archivos de alerta en la /tmpcarpeta, pero solo con los datos relacionados con esa dirección IP específica. Si lo ha mergecapinstalado, recomendaría combinarlos todos en un solo archivo PCAP usando lo siguiente:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Debes saber que tienes dos archivos en /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Luego, proporcione esos archivos a su equipo de seguridad.

Snort encuentra el archivo de alerta DATA con snort.logs.xxxxxxx

Respuesta1

El enfoque de alerta única

Para buscar entradas de alerta:

Para encontrar el archivo PCAP correspondiente:

Si necesita varios registros para una dirección IP

Entradas de archivos de alerta

Archivos PCAP

información relacionada