Question

Я пытаюсь добавить новое правило в Suricata, чтобы хранить любые передачи файлов PDF в сети. Я пытаюсь добиться этого по двум правилам

alert http any any -> any any (msg: "Обнаружен файл pdf"; filemagic: "PDF document "; filestore; sid: 3; rev: 1;)

и

alert ftp any any -> any any (msg: "Обнаружен файл pdf"; filemagic: "PDF document "; filestore; sid: 4; rev: 1;)

второе правило всегда дает мне ошибку как ошибку конфигурации.

когда я пробую только первый и пытаюсь загрузить любой pdf-файл со страницы http, оповещение не появляется

Чего мне здесь не хватает

Kenneth M. Kolano · Answer 1 · 19 января 2019

Является ли ...

file-store:
    enable: yes

... установлено в вашем suricata.yaml?

Вы также должны проверить, какая ваша конкретная версия filemagic возвращает для файлов PDF. К сожалению, правила файловой системы, похоже, должны точно соответствовать.

file file.pdf

пользовательское правило suricata для хранения и оповещения всех файлов PDF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

пользовательское правило suricata для хранения и оповещения всех файлов PDF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы