ルール鼻息:単語を含むサイトへのアクセスをログに記録する「マルウェア」
-
19-09-2019 - |
質問
私は、ユーザーがそれで単語「マルウェア」のページにアクセスしようとしたら、基本的にすべてのパケットをログに記録するのSnortのルールを作成しようとしています。これは、単にいくつかのガイドを求めて、私が持っているものです。そこで、基本的に一度Webページは、アラートを示しフレーズが含まれています。
alert tcp any any -> any any
(content:"malware";
msg:"Someone clone is accessing a page with malware tagged!!!!";
aid:10000002;rev:1;)
解決
のアラートのtcp任意の任意の - >任意の任意の(コンテンツ: "マルウェア";メッセージ: "誰かのクローンがタグ付けされたマルウェアのページにアクセスしている!!!!";援助:10000002; REV:1;)
実際に働いていたし、問題が解決された。
所属していません StackOverflow