Limitar registros de Snort en pfsense para un mismo SID

Seguramente, si estás iniciándote en snort, habrás observado que en en las alertas de las interfaces, se generan muchos registros repetidos con el mismo SID:GID, para limitar esto, es muy sencillo, tenemos que hacer lo siguiente:

  1. En snort, nos vamos a Suppress
  2. Le damos añadir
  3. Le ponemos un nombre y una descripción y en el suppression rule ponemos lo siguiente, sin las comillas:
    • «event_filter gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 60» esto lo que hace, es que para todos los sig ids, solo nos va a mostrar un único registro repetido cada 60 segundos.
  4. Guardamos y salimos
  5. Ahora nos vamos a editar las interfaces que tengamos configuradas y en todas, vamos a Settings, buscamos Alert Suppression and Filtering, y seleccionamos la que hemos añadido.
  6. Reiniciamos las interfaces y listo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.