Eigene Regeln

• Eigene Regeln kommen nach /usr/local/etc/suricata/rules
• Mann sie nicht auf der Weboberfläche erstellen
• Am besten man macht eine eigene Datei mit der Endung *.rules
• Man findet sie auf der Weboberfläche dann direkt unter
• Indrusion Detection
  • Administration
    • Rules
• Sie müssen aber noch aktiviert werden.
• Wenn man den IPS Modus ausgewählt hat, kann man zwischen Alert und Drop auswählen.
• Drop funktioniert momentan nur bei einem Interface.

Beispiele

alert icmp any any -> any any (msg:"ICMP Test"; classtype:icmp ; sid:1;)

alert http any any -> any any (msg: "Possible Command Injection attack (Contains semicolon POST DATA)"; ;classtype:command-injection ; flow:established; content:"%3B"; nocase; http_client_body; sid:5;)