|
Olá pessoal,
Instalei o SNORT em minha rede e gostaria de
entender melhor os registros gerados no LOG:
Alguém mais experiente poderia me explicar (ou
indicar algum tutorial) sobre como fazer uma análise eficiente dos logs do
SNORT, e entender aquelas informações para concluir se foi invadido ou
não?
Por exemplos, o que significam na prática as
informações abaixo, obtidas do meu LOG hoje:
Events between 01 12 07:37:18 and
01 13 05:09:43
Total events: 645 Signatures recorded: 10
Source IP recorded: 37
Destination IP recorded: 37
Portscan recorded: 6 Events from same host to same destination using
same
method
========================================================================= # of from to method ========================================================================= 127 10.0.0.139 200.185.40.69 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 110 200.152.199.183 155.102.177.84 ICMP Destination Unreachable (Port Unreachable) 78 10.0.0.139 64.4.18.250 (http_inspect) DOUBLE DECODING ATTACK 48 10.0.0.139 64.4.34.250 (http_inspect) DOUBLE DECODING ATTACK 26 10.0.0.139 64.4.22.250 (http_inspect) DOUBLE DECODING ATTACK 22 10.0.0.139 65.54.187.250 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 216.109.124.107 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 64.233.171.85 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 17 10.0.0.139 65.54.184.250 (http_inspect) DOUBLE DECODING ATTACK 15 200.176.255.22 155.102.177.84 ICMP Destination Unreachable (Communication Administratively Prohibited) Portscans performed to/from HOME_NET =================================== # of from =================================== 4
200.113.32.226
Desde já agradeço pela ajuda,
Julio
|