关于我在这里的愚蠢之处,有什么需要帮助的吗?
尝试使用数据集(base64编码域的.lst文件(在Suricata中配置自定义IDS规则
以下是IDS塔的文章
其他Suricata文档:https://suricata.readthedocs.io/en/latest/rules/datasets.html#datasethttps://suricata.readthedocs.io/en/latest/rules/datasets.html?highlight=dataset#dataset
我尝试了一系列的更改和测试,最终我的规则如下:
alert dns $HOME_NET any -> any any (msg:"DNS Query to Malicious FQDN"; dns.query; dataset:isset, domains_iocs, type string, load /etc/suricata/rules/domains_threatfox_base64.lst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:1234567891;)
这个文件包含在我的suricata.yaml配置文件中,自定义规则本身和数据集都在/etc/suricata/rules目录中
Suricata配置的试运行:
suricata -c /etc/suricata/suricata.yaml -i <interface>
导致以下不太详细的错误:
8/8/2022 -- 23:53:16 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert dns $HOME_NET any -> any any (msg:"DNS Query to Malicious FQDN"; dns.query; dataset:isset, domains_iocs, type string, load /etc/suricata/rules/domains_threatfox_base64.lst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:1234567891;)" from file /etc/suricata/rules/ads-ioc-dataset.rules at line 1
蒂亚!
IDSTower开发者您好:(
规则语法是正确的,并且Suricata似乎没有打印最有用的错误消息,您需要检查以下内容:
-
通过运行验证规则中包含的IOC列表文件是否存在
ls-lah/etc/suricata/rules/domains_threatfox_base64.lst
-
验证规则中包含的IOC列表文件是否可由suricata访问,该文件应归suricata所有(假设此处为默认安装(
sudo chown suricata:suricata/etc/suricata/rules/domains_threatfox_base64.lst
sudo chmod 644/etc/suricata/rules/domains_threatfox_base64.lst