Seguramente, si estás iniciándote en snort, habrás observado que en en las alertas de las interfaces, se generan muchos registros repetidos con el mismo SID:GID, para limitar esto, es muy sencillo, tenemos que hacer lo siguiente:
- En snort, nos vamos a Suppress
- Le damos añadir
- Le ponemos un nombre y una descripción y en el suppression rule ponemos lo siguiente, sin las comillas:
- «event_filter gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 60» esto lo que hace, es que para todos los sig ids, solo nos va a mostrar un único registro repetido cada 60 segundos.
- Guardamos y salimos
- Ahora nos vamos a editar las interfaces que tengamos configuradas y en todas, vamos a Settings, buscamos Alert Suppression and Filtering, y seleccionamos la que hemos añadido.
- Reiniciamos las interfaces y listo