用于Snort规则的OSSIM警报

Question

我是OSSIM的新手。

我的要求是使用snort检测可执行文件(.exe)。我发现了一条snort规则：

 alert tcp any any -> any any (msg: "DLL Windows file download"; flow: established; content:"MZ";isdataat: 76,relative;content:"This program cannot be run in DOS mode."; distance: 0; isdataat: 10,relative; content:"PE"; distance: 0; classtype: misc-activity; sid:5000789;)

我在/etc/snort/rules/local.rules和Perl中添加了这个

/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/ 

然后重新启动snort：

/etc/init.d/snort restart.

当我在snort控制台中检查snort二进制日志时，我可以看到snort规则检测文件下载。但我希望在OSSIM中的Incident> Alerts部分看到此警报。

我遗漏了什么？

Answer 1

尝试使用forums.alienvault.com来回答这类问题--他们往往会得到更多的答案。

你需要的是一个相关规则。尝试在论坛上列出的关于如何编写的文档。