The pfSense Store

Author Topic: Konkrete Informationen zu Snort Alert / Blocks  (Read 173 times)

0 Members and 1 Guest are viewing this topic.

Offline CreativeDevelopers

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
Konkrete Informationen zu Snort Alert / Blocks
« on: November 21, 2017, 05:33:19 pm »
Hallo zusammen

Ich wollte gerne wissen, wie man so wie bei SGUIL die konkreten Informationen zum versuchten Angriff (Header-Infos) usw. in pfSense sieht:
http://2.bp.blogspot.com/_Prlv_CKbUdQ/TTOOj-YJ_5I/AAAAAAAAAHw/CfbJNxl3X6Q/s1600/Security_Onion_20110116_Sguil_alert.PNG

Gruss

Offline CreativeDevelopers

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
Re: Konkrete Informationen zu Snort Alert / Blocks
« Reply #1 on: December 05, 2017, 03:25:23 pm »
Hallo zusammen

Gibt es keine Möglichkeit dies so ausführlich darzustellen, wie es durch die Snort-GUI möglich ist?

Gruss

Offline Birke

  • Jr. Member
  • **
  • Posts: 56
  • Karma: +12/-0
    • View Profile
Re: Konkrete Informationen zu Snort Alert / Blocks
« Reply #2 on: December 06, 2017, 10:52:20 am »
ich kann mir die infos zu jedem der regeln im suricata angucken.
einfach im suricata bei einem der eingerichteten interfaces auf rules gehen und dann die sid der gesuchten rule anklicken. (sollte bei snort genauso sein, denk ich)

oder meinst du was anderes?

Offline CreativeDevelopers

  • Newbie
  • *
  • Posts: 24
  • Karma: +1/-0
    • View Profile
Re: Konkrete Informationen zu Snort Alert / Blocks
« Reply #3 on: December 09, 2017, 12:10:51 pm »
Danke für die Rückmeldung.
Ich verwende zur Zeit Snort und nicht Suricata.
Meine Absicht liegt da dass ich nicht die eingetroffene Regel von Snort genauer sehen möchte, sondern was genau versucht wurde zu hacken.

Snort gibt mir das Zielsystem + Port, Quellsystem und Port sowie die eingetroffene Regel aus. Was mich aber interessiert ist nicht nur die IP und Port des geschützten Servers, sondern was genau versucht wurde. Beispielsweise bei einer Meldung bezüglich XSS (Cross Site Scripting) bringt es mir wenig nur zu wissen welcher meiner Server betroffen war, sondern welche Website auf dem Server (URL, Query, Dateiname, Header usw.)

Wie kann ich das sehen?

Gruss