Snort-Regel
Was ist Snort-Regel?
Snort-RegelEine Signatur in der Snort-Regelsprache, die Netzwerkverkehrsmuster beschreibt, auf die im IDS- oder IPS-Modus alarmiert oder geblockt wird.
Snort ist ein seit langem etabliertes Open-Source-IDS/IPS, das Martin Roesch 1998 entwickelt hat und das heute von Cisco Talos gepflegt wird. Eine Snort-Regel besteht aus einem Header (Aktion, Protokoll, Quell-/Zieladressen und -ports, Richtung) und einem Optionsblock (content, pcre, flow, sid, rev, classtype, reference), der Payload-Muster und Metadaten beschreibt. Regeln sind in Community-, Registered- und Subscriber-Sets organisiert, werden ueber den Talos-Feed verteilt und von Snort 2, Snort 3 sowie vielen kommerziellen NGFW- und IDS-Produkten verarbeitet. Verteidiger schreiben eigene Regeln fuer spezifische Exploits, Malware-C2 und Policy-Verstoesse.
● Beispiele
- 01
Snort-Regel, die ausgehenden HTTP-Verkehr mit einem bekannten C2-User-Agent meldet.
- 02
Abo des Talos-Regelsatzes fuer Same-Day-Coverage kritischer CVEs in Snort 3.
● Häufige Fragen
Was ist Snort-Regel?
Eine Signatur in der Snort-Regelsprache, die Netzwerkverkehrsmuster beschreibt, auf die im IDS- oder IPS-Modus alarmiert oder geblockt wird. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Snort-Regel?
Eine Signatur in der Snort-Regelsprache, die Netzwerkverkehrsmuster beschreibt, auf die im IDS- oder IPS-Modus alarmiert oder geblockt wird.
Wie schützt man sich gegen Snort-Regel?
Schutzmaßnahmen gegen Snort-Regel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Snort-Regel?
Übliche alternative Bezeichnungen: Snort-Signatur, Talos-Regel.