Author: geneblue
Blog: https://geneblue.github.io/
Meta Keywords
可以理解为是 suricata
的基本关键字,不与任何协议绑定,在任何规则中都可以使用
Meta Keywords
msg(message)
msg
关键字用来记录当规则匹配到时,对数据包的文本描述信息,然后记录在日志中
比如: 1
msg: "ATTACK-RESPONSES 403 Forbidden";
注意,按照惯例,msg
消息都是以大写字母开头,这样在日志记录中,从视觉上比较容易识别;msg
一般是规则的第一个关键字
sid(signature ID)
sid
签名标识符,数值类型,为每个规则定义一个
id
号,不能重复 比如: 1
sid: 123;
sid
位于最后关键字(如果有 rev
关键字,则位于倒数第二个),这也是为了书写上的规范吧
rev (revision)
用于表示规则的版本号
比如: 1
rev:123;
gid(group ID)
gid
关键字不是很常用,默认是 1
classtype
classtype
指定该规则触发时,属于哪种报警分类信息,当前的攻击属于什么威胁。具体的警报分类查看文件
/etc/suricata/classification.config
,比如:
1 | config classification: rpc-portmap-decode,Decode of an RPC Query,2 |
每一条报警分类信息,包含 短名,具体描述和警报优先级,严重事件优先级为1,在规则中,指定短名即可:
1 | classtype:rpc-portmap-decode; |
我们也可以在 classification.config
中增加自己的警报信息。
reference
reference
引用,给出规则触发时的额外参考信息,参考信息一般是
url
,方便起见,也可以给一个 cve
号,suricata
会自动生成该 cve
在
mitre
站点的 cve
链接。
形式: 1
reference: type, reference
比如: 1
2reference: url, www.info.com;
reference: cve, CVE-2014-1234;
/etc/suricata/reference.config
中记录了各种 type
1 | $ cat /etc/suricata/reference.config |
priority
priority
优先级关键字是个数字,范围 1 到 255,1 到 4
使用比较频繁,1 为最高优先级,注意如果特意把该规则的
priority
设置为 1,则会覆盖 classtype
中的低优先级
1 | priority:1; |
metadata
记录非功能信息
target
target
关键字指定警报的哪一侧是攻击的目标。