[GTER] Regras de detecção para Snort e Suricata

Amanda Barbosa amanda at acmesecurity.org
Tue Mar 30 09:38:31 -03 2021


Olá pessoal, bom dia.

Estou tentando validar o sistema de detecção de ataques da minha
pesquisa de mestrado e, para isso, preciso comparar os resultados com as
detecções feitas por IDSs já existentes. Escolhi o Snort e o Suricata
por achar que, por serem mais tradicionais, teria mais conteúdo
disponível para configurá-los.

No entanto, estou com dificuldades para encontrar assinaturas para eles.

Preciso apenas detectar Portscans, Bruteforces em qualquer porta (pode
ser na 22 mesmo), e DoS/DDoS. Estou fazendo os testes usando ferramentas
open source (Nmap, Hydra e Hping) com as configurações padrão, mas as
regras padrão da comunidade do Snort e Suricata não estão detectando
esses ataques (no caso do Snort, cheguei a baixar as regras que eles
disponibilizam para quem cria um login de acesso no site deles, mas não
adiantou).

Algum de vocês conhece ou já usou alguma lista de regras/assinaturas
para esses IDSs que funcionem para esses ataques? Ou já
trabalhou/trabalha com esses IDSs e poderia auxiliar na formulação
dessas regras?

Obrigada.

Att.

--
Amanda Barbosa Sobrinho
Analista de Segurança
ACME! CyberSecurity Research Labs
UNESP - São José do Rio Preto, SP



More information about the gter mailing list