[Suricata] Định dạng của thông điệp cảnh báo

30/12/2020

Sau khi cài đặt suricata làm IDS/IPS ta sẽ quan tâm đến những cảnh báo đối với hệ thống. Với suricata những cảnh báo này sẽ được ghi lại thành một file log. File log này mặc định nằm trong thư mục /var/log/suricata (ta cũng có thể thay đổi đường dẫn này trong file suricata.yaml). Khi một gói tin match với một rules của suricata (phát hiện tấn công) nó sẽ được ghi lại thành một bản tin log trong file fast.log có dạng như sau:

Time[**][gid:sid:rev]message[**][Classification][Priority][Protocol] Source-> Destination

Trong đó:

  • Time: Thời gian xảy ra cảnh báo
  • gid: Được sử dụng để nhóm các rule khác nhau. Mặc định sẽ nhận giá trị 1 nếu không được set trong rule
  • sid: Dùng để định danh một rule. Mỗi rule có một sid duy nhất
  • rev: Xác định số lần sửa đổi của 1 rule. Mỗi lần rule được thay đổi thì rev được tăng lên
  • message: Nội dung của cảnh báo
  • Classification: mô tả rule thuộc loại attack nào. Classtype được định nghĩa trong file classification.config
  • Priority: Thể hiện mức độ ưu tiên của cảnh báo. Thứ tự ưu tiên cao hơn sẽ được ưu tiên xử lý trước. Ví dụ 1 sẽ được ưu tiên hơn 2
  • Protocol: Giao thức của gói tin tcp, icmp…
  • Source: Địa chỉ nguồn của gói tin bao gồm IP và port
  • Destination: Địa chỉ đích của gói tin bao gồm IP và port

Ví dụ bản tin log như sau:

03/09/2020-22:27:13.111796 [**] [1:2001330:8] ET POLICY RDP connection confirm [**] [Classification: Misc activity] [Priority: 3] {TCP} 103.101.160.197:3389 -> 212.92.122.86:65125

Như bản tin trên ta nội dung của các trường như sau:

  • Time: 03/09/2020-22:27:13.111796
  • gid: 1
  • sid: 2001330
  • rev: 8
  • message: ET POLICY RDP connection confirm
  • Classification: Misc activity
  • Priority: 3
  • Protocol: TCP
  • Source: 103.101.160.197:3389
  • Destination: 212.92.122.86:65125

Với bản tin trên ta có thể xác định attacker đang cố tình bufforce RDP đến server của ta qua port 3389 và server của ta đang gửi lại gói tin đến attacker để yêu cầu nhập password.

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

[MariaDB Replication]Giới thiệu về MariaDB Replication Master-Slave

Với các cơ sở dữ liệu có nhu cầu lưu trữ lớn thì đòi hỏi về tính toàn vẹn, không bị...
30/12/2020

Hướng dẫn cài đặt IP static ubuntu 20.04

Phiên bản Ubuntu 20.04 đã chính thức ra mắt. Và ở bài viết này mình sẽ hướng dẫn các bạn làm...
30/12/2020

Hướng dẫn cài đặt Galera 3 node trên CentOS 7

Tổng quan MariaDB là một sản phẩm mã đóng tách ra từ mã mở do cộng đồng phát triển của hệ...
30/12/2020