snortルールを自動的に更新する
私は snort マシンを稼働させ、 SnortIDSおよびIPS Toolkit )を介して作業しています。
著者は Oinkmaster の使用を提案していますが、そのWebサイトでは、最後の更新は2008年2月でした。それはちょっと奇妙に思えます。過去1年半の間、oinkmasterに問題はなかったのかもしれませんが、私が知らない別の解決策があるのではないかと思いました。
Snortを使用する場合、ルールを自動的に更新しますか?更新する場合、どのように更新しますか?
プルドポーク は、Snortの推奨ルール更新システムと見なされるようになりました。 Sourcefireの公式製品ではありませんが、Sourcefireの従業員によって開発されています。
構文はoinkmasterよりも少し複雑ですが、提供されたスクリプト oink-conv.pl がoinkmaster構成を読み取り、pullpork構文に変換して、システム変換をはるかに簡単にします。
標準ルールの更新に加えて、以前は手動プロセスであったso_rulesを管理することもできます。
Oinkmasterは、ルールを最新の状態に保つための推奨される最良の方法です。これは単純なスクリプトであるため、しばらく更新されていません。
これは良いハウツーです: http://taosecurity.blogspot.com/2004/07/using-oinkmaster-to-update-snort-rules.html