Господа добрый день. кто имел практический опыт написания правил для

suricata?
суть в чем что есть ребятки которые ходят из корп сети "домой" по рдп.
задумал научить сурикату отловить это добро. ))
и конечно столкнулся с тем что это добро не гуглится.
на помощь пришла нейросеть которая подкинула правило вида:

alert tcp any any -> any any (msg:"MS Terminal Service on non-standard port detected"; flow:established; content:"|03 00 00 0b|"; depth:4; content:"|0e 00 00 00|"; distance:66; within:4; byte_test:2,&,0x8000,2,relative; metadata:policy security-ips drop, service terminal-services; reference:url,https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/67a0c9e8-1a5d-4763-af09-2b3d6e1f92a9; classtype:protocol-command-decode; sid:1000001; rev:1;)

если до скобок еще понятно), то например content:"|0e 00 00 00| уже что-то не особо.
откуда это добро взять самому? запустить wireshark и посмотреть чего нить с фильтром rdp?)

2 ответов

30 просмотров

https://suricata.readthedocs.io/en/latest/rules/intro.html

https/github.com/sudohyak/suricata-rules

Похожие вопросы

Обсуждают сегодня

33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность — средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, — можете с...
Raymond E 👁‍🗨
2
Hack Time друзья, Миф на связи.🤘 Посмотрел выступление коллег с PHdays по ChatGPT по использованию в безопасности. Ну что сказать не хочу обижать коллег, но я мягко сказать ...
Сергей Бут
2
сеть починить, хакера найти, политику ИБ написать?
N B
22
Если скрипт запускается по шедулеру и ходит в базу за информацией, как защитить пароль? Пароль хардкодиться в код, хуле делать. Какие варианты?
Pompilius Ciceron
19
CVE-2023-20198 BDU:2023-06875 Уязвимость веб-интерфейса операционной системы Cisco IOS XE связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позвол...
Octavianus Augustus
1
Какой роутер лучше взять? Безопасный и стабильный роутер для домашнего использования. Не игрового. 500 мбит скорость дома. Выбираю между asus RT-AX86U GL.iNet Flint GL-AX1800
­­ ­­
15
ребят, скажем, у вас один единственный девайс — смартфон. пользуетесь vpn и всеми основными службами (Google, Microsoft и т.д.) + средой производителя телефона (аля samsung ga...
Merlin
13
Исчезли некоторые важные файлы на втором жёстком диске. Один компьютер, три жёстких диска. В двух из них установлена ОСь Window 10, а третий используется как общее хранилище. ...
Zer0 Eye
43
Привет всем. Мне 14 лет, я изучаю программирования уже год, решил прийти на более серьезные вещи:), С чего посоветуете начать новичку?
ام عبدالله
15
#СтруктураМомента: арест основателя Group-IB – бой войны между ЦИБ ФСБ и Управлением "К" МВД РФ, обострившейся ввиду ИТ-части Женевской сделки. Наши с вами друзья на Лубянке ...
Гарик ♠️
3
Карта сайта