У меня есть сеть IDS на работе, и у меня есть настройки в файле переменных suricata (vars.yaml):
- Сеть $ HOME_NET: подсети внутреннего сервера и рабочей станции
- Сеть $ EXTERNAL_NET: все, что не определено как $ home (!$ Домой)
У меня есть правила Oinkcode ET Pro.
Мой вопрос:
Как я могу гарантировать, что IDS также будет перехватывать внутренние атаки из подсетей $ HOME_NET -> $ HOME_NET? Правила появления вредоносных программ имеют следующий формат:
alert tcp $HOME_NET any -> $EXTERNAL_NET 20000 (msg:"ET MALWARE Realtimegaming.com Online Casino Spyware Gaming Checkin"; flow:established,to_server; dsize:<30; content:"|43 01 00|"; depth:4; content:"Casino"; nocase; reference:url,doc.emergingthreats.net/bin/view/Main/2008402; classtype:trojan-activity; sid:2008402; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
Поэтому ожидается, что зараженный $ HOME_NET ПК будет "общаться" с $ EXTERNAL_NET (связь с ЧПУ).
Какова наилучшая практика, чтобы домашние атаки также были зафиксированы?
1) Изменение правила на
alert tcp $HOME_NET any -> $HOME_NET
вызовет слишком много беспорядка?
2) Лучше добавить копию правила, но с $ HOME_NET any -> $ HOME_NET any?
3) Добавление второго экземпляра Suricata IDS?
Заранее спасибо.
Крис