AlienVault OSSIM:无效的'if_sid‘错误

Question

我不知道这个问题是否与编程有关，但我会试一试。我不熟悉Alienvault OSSIM系统。我正在努力学习如何制定自己的规则，但不幸的是，我遇到了一些困难。我在Snort rules文件夹内的规则文件"local.rules“中创建了一个简单的规则。

alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

从任何计算机对任何计算机执行icmp ping操作后，将触发此规则。我检查了Snort是否处理此规则，它的记录确实出现在snort日志文件中。

从我对此所做的搜索中，我意识到在规则文件更改之后，我必须运行下面的脚本才能映射规则文件。

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

然后，我在local_rules.xml文件中创建了以下OSSIM规则：

<group name="local,syslog,">
    <rule id="100020" level="2">
      <if_sid>250888</if_sid>
      <description>it's a new rule that i write myself!!</description>
    </rule>
</group>

系统重新启动后，我向机器发送了一些ping，但该规则在警报日志中没有出现。在OSSIM系统错误日志中显示：

2014/08/06 11:30:59 rules_list: Signature ID '250888' not found. Invalid 'if_sid'.

有人能给我解释一下我哪里做错了吗？

Answer 1

我不熟悉Alienvault OSSIM系统，但从snort的角度来看，对于本地规则来说，这是一个无效的sid。本地规则的SID必须为>= 1,000,000，因为这些SID是为Snort分发(See documentation on this here)中包含的规则保留的。也许可以尝试将sid更改为1000000 (如果您想保留250888部分，则将其更改为1250888 )。

Answer 2

如果在snort中创建规则，则不需要创建规则local_rules.xml

更改snort的local.rules之后

any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

并执行此命令

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

转至web界面>配置>威胁情报>数据源>数据源id 1001

在搜索输入中，输入您的规则的sid (250888)，您将会发现您的规则