hallo bitmuncher,
vielen dank für deine antwort.
Zitat:
Original von bitmuncher
Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein
|
... es geht um eine hohe anzahl an sensoren. zeit, kurzfristig und regelmäßig eigene regeln zu schreiben habe ich erfahrungsgemäß nicht. allerdings denke ich auch, dass die community rules viel können. im gegensatz zu einem antiviren produkt, sollte ein ids, nach meinem verständnis auch nicht nur signaturbasiert wirken, sondern auch verhaltensanalysierend. das tut snort in teilen bereits. somit würden in vielen fällen uach angriffe, die nicht durch eine spezifische regel bekannt sind, indirekt durch andere regelverstöße auffallen.
Wie sieht es mit dem update der regeln aus? reicht es erfahrungsgemäß, die .rules auszutauschen und in der snort.conf einzutragen ? oder gibt es sonderfälle ? ich muss mir einen automatisierungsvorgang ausdenken, wobei ich nicht auf automatische updatemöglichkeiten zurückgreifen kann...