AlienVault OSSIM：無效的“ if_sid”錯誤

Question

我不知道該問題是否與編程有關，但是無論如何我都會嘗試。 我是Alienvault OSSIM系統的新手。 我正在嘗試學習如何制定自己的規則，但不幸的是，我遇到了一些困難。 我在Snort規則文件夾內的規則文件“ local.rules”中創建了一個簡單規則。

alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

在從任何計算機到任何計算機的icmp ping之后觸發此規則。 我檢查了Snort是否處理此規則，並且實際上它的記錄出現在snort日志文件中。

從我對此所做的搜索中，我意識到在更改規則文件后，我必須運行以下腳本以映射規則文件。

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

然后，我在local_rules.xml文件中創建了以下OSSIM規則：

<group name="local,syslog,">
    <rule id="100020" level="2">
      <if_sid>250888</if_sid>
      <description>it's a new rule that i write myself!!</description>
    </rule>
</group>

系統重新引導后，我向計算機發送了一些ping操作，但是該規則並未出現在警報日志中。 並且在OSSIM系統錯誤日志中顯示：

2014/08/06 11:30:59 rules_list: Signature ID '250888' not found. Invalid 'if_sid'.

有人可以向我解釋我做錯了什么嗎？

Answer 1

我對Alienvault OSSIM系統不熟悉，但是從一個狹窄的角度來看，這對於本地規則來說是無效的sid。 本地規則的SID必須> = 1,000,000，因為這些保留給Snort分發中包括的規則（請參閱此處的文檔） 。 也許嘗試將sid更改為1000000（如果要保留250888，則將其更改為1250888）。

Answer 2

如果您在snort中創建規則，則無需創建規則local_rules.xml

更改snort的local.rules之后

any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)

並執行此命令

perl /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules/

轉到Web界面>配置>威脅情報>數據源>數據源ID 1001

在搜索輸入中，輸入規則的sid（250888），您會發現自己是規則