OSSEC Kismet 规则
作为项目的一部分,我被要求编写一些规则,使OSSEC能够监控Kismet警报。这是我第一次尝试编写OSSEC规则,主要基于我在Mad Irish找到的这篇文章。
请对这些规则提供反馈,这是我的首次尝试,很乐意听取如何改进的意见。
除了这些规则,我还开发了一个脚本,用于将CSV文件转换为规则文件,这使得管理规则更加容易,因为它们可以在电子表格中完成,然后转换为XML文件。访问我的OSSEC规则转换器项目获取更多信息。
下载规则和配置文件
说明
将以下行添加到您的ossec.conf文件中:
1
2
3
4
5
|
<!-- Monitor Kismet Alerts -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/kismet.alerts</location>
</localfile>
|
这是解码器,我本想使用更优雅的正则表达式,但由于OSSEC中有限的正则表达式支持,这是我能够想出的最佳方案:
1
2
3
4
5
6
7
8
9
10
|
<!-- Custom decoder for Kismet -->
<decoder name="kismet">
<prematch>^\w+\s+\w+\s+\d+\s+\d\d:\d\d:\d\d \d\d\d\d </prematch>
</decoder>
<decoder name="kismet-alert">
<parent>kismet</parent>
<regex offset="after_parent">(\w+) (\d+) (\.+) (\.+) (\.+) (\.+) (\.+)</regex>
<order>action,data,data,data,data,data,data</order>
</decoder>
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
<group name="syslog,kismet,">
<rule id="110000" level="0">
<decoded_as>kismet</decoded_as>
<description>Kismet Alerts.</description>
</rule>
<rule id="110001" level="10">
<if_sid>110000</if_sid>
<action>ADHOCCONFLICT</action>
<description>Possible AP spoofing/impersonation</description>
</rule>
<rule id="110002" level="10">
<if_sid>110000</if_sid>
<action>AIRJACKSSID</action>
<description>Airjack attack</description>
</rule>
<rule id="110003" level="10">
<if_sid>110000</if_sid>
<action>APSPOOF</action>
<description>ARP Spoofing or conflicting APs</description>
</rule>
|
支持本站
我没有从这个网站的任何项目中获得报酬,所以如果您想支持我的工作,可以使用下面的联盟链接,我可以获得账户积分或现金返还。通常只有几分钱,但它们都会累积起来。