Spawnzao

Pessoal, mais um artigo que complementa a série de artigos sobre o Snort.

O Barnyard2 utiliza o arquivo sid-msg.map para indexar a descrição dos eventos do Snort, e quando ativamos algumas regras que não estão no arquivo sid-msg.map o Barnyard2 gera um erro no syslog e consequentemente adiciona no Banco de Dados uma descrição padrão: “Snort Alert [gid:sid:revision]”.

Segue o erro do syslog:

Aug 18 06:43:51 snort barnyard2: INFO [dbProcessSignatureInformation()]: [Event: 157] with [gid: 1] [sid: 21355] [rev: 3] [classification: 4] [priority: 2]
Aug 18 06:43:51 snort barnyard2: was not found in barnyard2 signature cache, this could lead to display inconsistency.
Aug 18 06:43:51 snort barnyard2: To prevent this warning, make sure that your sid-msg.map and gen-msg.map file are up to date with the snort process logging to the spool file.
Aug 18 06:43:51 snort barnyard2: The new inserted signature will not have its information present in the sig_reference table.
Aug 18 06:43:51 snort barnyard2: Note that the message inserted in the signature table will be snort default message “Snort Alert [gid:sid:revision]”
Aug 18 06:43:51 snort barnyard2: You can allways update the message via a SQL query if you want it to be displayed correctly by your favorite interface

Para resolver o problema vamos atualizar o arquivo sid-msg.map.

Agora vamos baixar o script e setar a permissão de execução:

wget https://github.com/da667/Autosnort/raw/master/Offline/create-sidmap.pl
chmod +x create-sidmap.pl

Vamos executar o script baixado, colocando como parâmetro todos os diretórios que possuem regras do Snort:

./create-sidmap.pl /etc/snort/rules /etc/snort/so_rules /etc/snort/preproc_rules > sid-msg.map

Provavelmente ele mostrará alguns advertências de regras duplicadas, é normal!

WARNING: duplicate SID: 5 (discarding old)
WARNING: duplicate SID: 6 (discarding old)
WARNING: duplicate SID: 7 (discarding old)
WARNING: duplicate SID: 1 (discarding old)
WARNING: duplicate SID: 2 (discarding old)
WARNING: duplicate SID: 3 (discarding old)
WARNING: duplicate SID: 1 (discarding old)
WARNING: duplicate SID: 2 (discarding old)
WARNING: duplicate SID: 3 (discarding old)
WARNING: duplicate SID: 1 (discarding old)
WARNING: duplicate SID: 2 (discarding old)
WARNING: duplicate SID: 3 (discarding old)
WARNING: duplicate SID: 4 (discarding old)
WARNING: duplicate SID: 5 (discarding old)
WARNING: duplicate SID: 6 (discarding old)
WARNING: duplicate SID: 2 (discarding old)
WARNING: duplicate SID: 3 (discarding old)
WARNING: duplicate SID: 4 (discarding old)
WARNING: duplicate SID: 5 (discarding old)
WARNING: duplicate SID: 6 (discarding old)

Agora vamos fazer um backup do nosso arquivo e mover o novo para a pasta do Snort:

mv /etc/snort/sid-msg.map /etc/snort/sid-msg.map.old
mv sid-msg.map /etc/snort/sid-msg.map 

Vamos reiniciar o Barnyard2 para carregar o novo arquivo sid-msg.map.

systemctl restart barnyard2.service

Até o próximo.