Привіт, є декілька запитань по Suricata, якщо хтось має досвід - 1. чи можна якось обмежити інформацію, що пишеться в EVE, алертами з severity < 3 ? Бо інакше файл росте в розмірі як на дріжджах, а, чесно кажучи, таке - --- vvvvv 1146 "signature": "ET HUNTING Telegram API Domain in DNS Lookup", 1230 "signature": "ET INFO Session Traversal Utilities for NAT (STUN Binding Request)", 2390 "signature": "ET INFO Session Traversal Utilities for NAT (STUN Binding Request On Non-Standard High Port)", 1230 "signature": "ET INFO Session Traversal Utilities for NAT (STUN Binding Response)" 11 "signature": "SURICATA STREAM CLOSEWAIT FIN out of window", 235 "signature": "SURICATA STREAM ESTABLISHED invalid ack", 77 "signature": "SURICATA STREAM excessive retransmissions", 5 "signature": "SURICATA STREAM FIN out of window", 235 "signature": "SURICATA STREAM Packet with invalid ack", 15 "signature": "SURICATA STREAM reassembly overlap with different data", 257 "signature": "SURICATA STREAM TIMEWAIT ACK with wrong seq", --- ^^^^^ може бути не цікавим. 2. наприклад, у сурікати є правила, що контролюють files downloads типу "ET POLICY PE EXE or DLL Windows file download HTTP". В цілому, правило файне, але якщо це завантаження з *.microsoft.com, то його можна ігнорувати (життя windows своє й як там майкрософт завантажує свої апдейти - то їх справа). Питання - чи можна вказати сурікаті, що певні правила не треба аплаїти до певних доменів? 3. оскільки правила завантажуються batch'ем (ну типу по кронтабу раз на добу suricata-update), то можна якось написати, що певні правила тупо ігнорувати. Ясно, що завантаження правил можна пропускати через фільтр й коментувати правила, які хочеться подізейблити, але може можна це зробити більш цивільно? :) Дякую. -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
participants (1)
-
Volodymyr Litovka