Привіт,
є декілька запитань по Suricata, якщо хтось має досвід -
1. чи можна якось обмежити інформацію, що пишеться в EVE, алертами з
severity < 3 ? Бо інакше файл росте в розмірі як на дріжджах, а, чесно
кажучи, таке -
--- vvvvv
1146 "signature": "ET HUNTING Telegram API Domain in DNS Lookup",
1230 "signature": "ET INFO Session Traversal Utilities for NAT
(STUN Binding Request)",
2390 "signature": "ET INFO Session Traversal Utilities for NAT
(STUN Binding Request On Non-Standard High Port)",
1230 "signature": "ET INFO Session Traversal Utilities for NAT
(STUN Binding Response)"
11 "signature": "SURICATA STREAM CLOSEWAIT FIN out of window",
235 "signature": "SURICATA STREAM ESTABLISHED invalid ack",
77 "signature": "SURICATA STREAM excessive retransmissions",
5 "signature": "SURICATA STREAM FIN out of window",
235 "signature": "SURICATA STREAM Packet with invalid ack",
15 "signature": "SURICATA STREAM reassembly overlap with
different data",
257 "signature": "SURICATA STREAM TIMEWAIT ACK with wrong seq",
--- ^^^^^
може бути не цікавим.
2. наприклад, у сурікати є правила, що контролюють files downloads типу
"ET POLICY PE EXE or DLL Windows file download HTTP". В цілому, правило
файне, але якщо це завантаження з *.microsoft.com, то його можна
ігнорувати (життя windows своє й як там майкрософт завантажує свої
апдейти - то їх справа). Питання - чи можна вказати сурікаті, що певні
правила не треба аплаїти до певних доменів?
3. оскільки правила завантажуються batch'ем (ну типу по кронтабу раз на
добу suricata-update), то можна якось написати, що певні правила тупо
ігнорувати. Ясно, що завантаження правил можна пропускати через фільтр й
коментувати правила, які хочеться подізейблити, але може можна це
зробити більш цивільно? :)
Дякую.
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison