Господа добрый день. кто имел практический опыт написания правил для

Question

Господа добрый день. кто имел практический опыт написания правил для

suricata?
суть в чем что есть ребятки которые ходят из корп сети "домой" по рдп.
задумал научить сурикату отловить это добро. ))
и конечно столкнулся с тем что это добро не гуглится.
на помощь пришла нейросеть которая подкинула правило вида:

alert tcp any any -> any any (msg:"MS Terminal Service on non-standard port detected"; flow:established; content:"|03 00 00 0b|"; depth:4; content:"|0e 00 00 00|"; distance:66; within:4; byte_test:2,&,0x8000,2,relative; metadata:policy security-ips drop, service terminal-services; reference:url,https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/67a0c9e8-1a5d-4763-af09-2b3d6e1f92a9; classtype:protocol-command-decode; sid:1000001; rev:1;)

если до скобок еще понятно), то например content:"|0e 00 00 00| уже что-то не особо.
откуда это добро взять самому? запустить wireshark и посмотреть чего нить с фильтром rdp?)

#russian #secinfosec

0

21.04.2023

2 ответов

51 просмотр

ㅤ ㅤ

https/github.com/sudohyak/suricata-rules

0

22.04.2023

ㅤ ㅤ · Accepted Answer

ㅤ ㅤ

https://suricata.readthedocs.io/en/latest/rules/intro.html

0

22.04.2023

1 похожих чатов

Господа добрый день. кто имел практический опыт написания правил для

2 ответов

Похожие вопросы