Eu tenho uma rede IDS no trabalho e configuro o arquivo de variáveis suricata (vars.yaml):
Eu tenho as regras do Oinkcode ET Pro.
A minha pergunta é:
Como posso garantir que o IDS também capture ataques internos de $ HOME_NET - > Sub-redes $ HOME_NET? As regras de ameaças emergentes de malware têm o formato:
alert tcp $HOME_NET any -> $EXTERNAL_NET 20000 (msg:"ET MALWARE Realtimegaming.com Online Casino Spyware Gaming Checkin"; flow:established,to_server; dsize:<30; content:"|43 01 00|"; depth:4; content:"Casino"; nocase; reference:url,doc.emergingthreats.net/bin/view/Main/2008402; classtype:trojan-activity; sid:2008402; rev:3; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
Portanto, espera-se que o PC infectado pelo $ HOME_NET "fale" com $ EXTERNAL_NET (comunicação do CNC).
Qual é a melhor prática para ter ataques em casa capturados também?
1) Alterando a regra para
alert tcp $HOME_NET any -> $HOME_NET
causará muita confusão?
2) Adicionando uma cópia da regra, mas com $ HOME_NET any - > $ HOME_NET alguma é uma ideia melhor?
3) Adicionando uma segunda instância do IDS suricata?
Obrigado antecipadamente.
Chris