Você provavelmente está vendo tudo o que realmente consegue ver. O Snort funciona como um aplicativo antivírus. Você fornece uma lista de assinaturas que indicam maldade (os arquivos de regras) e sempre que o Snort vê um padrão de tráfego que coincide com a assinatura, ele gera um alerta. As informações que você recebe para cada alerta são configuradas pelo autor da regra. Por exemplo, vamos ver o seguinte alerta
[1:2013497:2] ET TROJAN MS Terminal Server User A Login, possible Morto inbound [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.15.253.22:3254 -> 192.168.100.15:3389
Certo, então sabemos
- 4-tupla que identifica a conexão de rede, (10.15.253.22:3254 - > 192.168.100.15:3389)
- uma descrição que explica o que esse alerta significa (o pouco sobre o Morto)
- e o ID da regra (2013497)
Agora, vamos ver a regra real que acionou isso.
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"ET TROJAN MS Terminal Server User A Login, possible Morto inbound"; flow:to_server,established; content:"|03 00 00|"; depth:3; content:"|e0 00 00 00 00 00|"; offset:5; depth:6; content:"Cookie|3a| mstshash=a|0d 0a|"; nocase; reference:cve,CAN-2001-0540; classtype:protocol-command-decode; sid:2013497; rev:2;)
Podemos ver que o texto descritivo em que somos alertados está no campo msg . Isso é realmente apenas um campo de texto livre que é usado pelo autor da regra para nos informar o que está acontecendo. Quando o syslogging um alerta, o aplicativo Snort somente registra essas informações. Ou seja, você não terá mais nada. Agora, eu acho que você está depois é a referência, CAN-2001-0540.
O que você precisa observar são alguns dos programas adicionais que operam com o Snort. Há vários deles que existem há anos. Os dois projetos que vêm imediatamente à minha mente são Snorby e BASE . Configurar um deles irá aumentar a complexidade do seu ambiente, mas pode valer a pena.