J'essaye d'analyser les alertes snort et de filtrer les informations nécessaires telles que l'ID vlan auquel une machine interne malveillante appartient! Cependant, je ne peux obtenir que le message, les adresses IP source et de destination, j'ai également besoin de l'ID VLAN.Comment obtenir l'ID de VLAN en alerte snort?
Merci
(En supposant que vous utilisez Unified2 format journal)
Vous pouvez obtenir l'ID VLAN connecté en utilisant le paramètre vlan_event_types lors de la spécification de la configuration de l'alerte:
output alert_unified2: \
filename <base filename> [, <limit <size in MB>] [, nostamp] [, mpls_event_types] \
[, vlan_event_types]
Lorsqu'il est activé et que le paquet contient un en-tête VLAN, un élément de journal contiendra l'enregistrement suivant avec vlan id:
E. Unified2 ID d'événement (Version 2)
sensor id 4 bytes event id 4 bytes event second 4 bytes event microsecond 4 bytes signature id 4 bytes generator id 4 bytes signature revision 4 bytes classification id 4 bytes priority id 4 bytes ip source 4 bytes ip destination 4 bytes source port/icmp type 2 bytes dest. port/icmp code 2 bytes protocol 1 byte impact flag 1 byte impact 1 byte blocked 1 byte mpls label 4 bytes vlan id 2 bytes padding 2 bytesUnified2 ID d'événement (Version 2) sont enregistrés pour les paquets IPv4 qui contiennent soit MPLS ou en-têtes de réseau local virtuel. Sinon, un événement IDS Unified2 est enregistré en tant que .
Notez que vous aurez besoin de passer --enable-mpls pour configurer afin de ont Snort remplir le champ étiquette mpls.
Notez que vous devez configurer la journalisation unifiée avec mpls_event_types ou vlan_event_types pour obtenir ce type d'enregistrement.