У меня есть сеть IDS на работе, и у меня есть настройки в файле переменных suricata (vars.yaml):

  • Сеть $ HOME_NET: подсети внутреннего сервера и рабочей станции
  • Сеть $ EXTERNAL_NET: все, что не определено как $ home (!$ Домой)

У меня есть правила Oinkcode ET Pro.

Мой вопрос:

Как я могу гарантировать, что IDS также будет перехватывать внутренние атаки из подсетей $ HOME_NET -> $ HOME_NET? Правила появления вредоносных программ имеют следующий формат:

alert tcp $HOME_NET any -> $EXTERNAL_NET 20000 (msg:"ET MALWARE Realtimegaming.com Online Casino Spyware Gaming Checkin"; flow:established,to_server; dsize:<30; content:"|43 01 00|"; depth:4; content:"Casino"; nocase; reference:url,doc.emergingthreats.net/bin/view/Main/2008402; classtype:trojan-activity; sid:2008402; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)

Поэтому ожидается, что зараженный $ HOME_NET ПК будет "общаться" с $ EXTERNAL_NET (связь с ЧПУ).

Какова наилучшая практика, чтобы домашние атаки также были зафиксированы?

1) Изменение правила на

alert tcp $HOME_NET any -> $HOME_NET 

вызовет слишком много беспорядка?

2) Лучше добавить копию правила, но с $ HOME_NET any -> $ HOME_NET any?

3) Добавление второго экземпляра Suricata IDS?

Заранее спасибо.

Крис

0