Snort encontrando o arquivo de alerta DATA com snort.logs.xxxxxxx

Question

Como você disse, por padrão, o Snort registrará duas maneiras:

alertfile - Contém metadados de alerta em formato de texto
snort.log.##########- PCAP do(s) pacote(s) que acionou o alerta

A maneira como eu faria isso (com apenas comandos bash básicos do Linux) seria:

A abordagem de alerta único

Para encontrar entradas de alerta:

Pesquise o alertarquivo. Você pode pesquisar por endereço IP ou por nome de alerta usando grep.

grep "PATTERN" /var/log/snort/alert

Uma linha típica de entrada de log seria semelhante a:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

Para encontrar o arquivo PCAP correspondente:

Então, para descobrir qual arquivo foi gravado, você pode olhar os horários modificados em uma longa listagem de diretórios ( ls -l), ou pode converter o carimbo de data e hora (não se esqueça de adicionar o ano e colocar um espaço entre a data e a hora ) para a época usando o seguinte comando:

date "+%s" -d "01/04/2018 03:28:11.959559"

Saída:

1515054491

Em seguida, procure um arquivo chamado snort.log.1515054491. Isso deve conter os dados do PCAP.

Se você precisar de vários logs para um endereço IP

Esta é a abordagem da marreta. Se eles quiserem entradas de ambos os arquivos pertencentes apenas a um único endereço IP, eu faria o seguinte:

Entradas de arquivo de alerta

Obtenha o endereço IP e grave a saída em um arquivo separado.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Isso deve filtrar apenas as linhas onde o endereço IP aparece e redirecioná-lo para um novo arquivo que você pode fornecer à equipe de segurança.

Arquivos PCAP

Eu tomaria cuidado ao fazer isso, pois o diretório de log do snort pode ser muito grande e a iteração em um grande grupo de arquivos pode sobrecarregar o sistema (especialmente se for um sensor com um volume de tráfego muito alto). Eu recomendaria usar uma máscara de arquivo por um período aproximado para os dados que você está procurando. Lembre-se de que esse período precisa estar no formato de época.

Digamos que a equipe queira que tudo de agora volte há uma hora (3.600 segundos). O carimbo de data/hora da época é 1515054491. Subtraia 3600 disso e você obterá 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Eu criaria então um loop for para percorrer todos esses arquivos e executaria um comando tcpdump para filtrar apenas o endereço IP em questão.

tcpdump -r infile -w outfile "BPF"

As opções:

-r é para leitura de um arquivo (em vez de iniciar uma captura ao vivo de uma interface)
-w é para gravar a saída em um arquivo
"BPF" - Filtro de pacotes Berkley (neste caso, seria "host 192.168.1.1" para especificar quaisquer pacotes com esse IP.)

E agora, o loop for:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

E agora você deve ter uma cópia de todos os seus arquivos de alerta na /tmppasta, mas apenas com os dados pertencentes a esse endereço IP específico. Se você mergecapinstalou, recomendo combinar tudo isso em um único arquivo PCAP usando o seguinte:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Você deve saber que tem dois arquivos em /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Em seguida, forneça esses arquivos à sua equipe de segurança.

Answer 1

Como você disse, por padrão, o Snort registrará duas maneiras:

alertfile - Contém metadados de alerta em formato de texto
snort.log.##########- PCAP do(s) pacote(s) que acionou o alerta

A maneira como eu faria isso (com apenas comandos bash básicos do Linux) seria:

A abordagem de alerta único

Para encontrar entradas de alerta:

Pesquise o alertarquivo. Você pode pesquisar por endereço IP ou por nome de alerta usando grep.

grep "PATTERN" /var/log/snort/alert

Uma linha típica de entrada de log seria semelhante a:

01/04-03:28:11.959559  [**] [1:1000001:1] Signature_Name [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.1.1:80 -> 192.168.1.128:39590

Para encontrar o arquivo PCAP correspondente:

Então, para descobrir qual arquivo foi gravado, você pode olhar os horários modificados em uma longa listagem de diretórios ( ls -l), ou pode converter o carimbo de data e hora (não se esqueça de adicionar o ano e colocar um espaço entre a data e a hora ) para a época usando o seguinte comando:

date "+%s" -d "01/04/2018 03:28:11.959559"

Saída:

1515054491

Em seguida, procure um arquivo chamado snort.log.1515054491. Isso deve conter os dados do PCAP.

Se você precisar de vários logs para um endereço IP

Esta é a abordagem da marreta. Se eles quiserem entradas de ambos os arquivos pertencentes apenas a um único endereço IP, eu faria o seguinte:

Entradas de arquivo de alerta

Obtenha o endereço IP e grave a saída em um arquivo separado.

grep "192.168.1.1" /var/log/snort > /tmp/alerts_192.168.1.1.txt

Isso deve filtrar apenas as linhas onde o endereço IP aparece e redirecioná-lo para um novo arquivo que você pode fornecer à equipe de segurança.

Arquivos PCAP

Eu tomaria cuidado ao fazer isso, pois o diretório de log do snort pode ser muito grande e a iteração em um grande grupo de arquivos pode sobrecarregar o sistema (especialmente se for um sensor com um volume de tráfego muito alto). Eu recomendaria usar uma máscara de arquivo por um período aproximado para os dados que você está procurando. Lembre-se de que esse período precisa estar no formato de época.

Digamos que a equipe queira que tudo de agora volte há uma hora (3.600 segundos). O carimbo de data/hora da época é 1515054491. Subtraia 3600 disso e você obterá 1515050891.

1515050891 - Start
1515054491 - End
151505???? - File mask (close enough)

Eu criaria então um loop for para percorrer todos esses arquivos e executaria um comando tcpdump para filtrar apenas o endereço IP em questão.

tcpdump -r infile -w outfile "BPF"

As opções:

-r é para leitura de um arquivo (em vez de iniciar uma captura ao vivo de uma interface)
-w é para gravar a saída em um arquivo
"BPF" - Filtro de pacotes Berkley (neste caso, seria "host 192.168.1.1" para especificar quaisquer pacotes com esse IP.)

E agora, o loop for:

cd /var/log/snort
for file in snort.log.151505????
do
    tcpdump -r $file -w /tmp/$file "host 192.168.1.1"
done

E agora você deve ter uma cópia de todos os seus arquivos de alerta na /tmppasta, mas apenas com os dados pertencentes a esse endereço IP específico. Se você mergecapinstalou, recomendo combinar tudo isso em um único arquivo PCAP usando o seguinte:

mergecap -w /tmp/snort_log_192.168.1.1.pcap /tmp/snort.log.*

Você deve saber que tem dois arquivos em /tmp:

/tmp/alerts_192.168.1.1.txt
/tmp/snort_log_192.168.1.1.pcap

Em seguida, forneça esses arquivos à sua equipe de segurança.

Snort encontrando o arquivo de alerta DATA com snort.logs.xxxxxxx

Responder1

A abordagem de alerta único

Para encontrar entradas de alerta:

Para encontrar o arquivo PCAP correspondente:

Se você precisar de vários logs para um endereço IP

Entradas de arquivo de alerta

Arquivos PCAP

informação relacionada