Thiago Teixeira
EN | PT

Snort

Cisco / Snort Team

IDS/IPS de rede baseado em assinaturas com vasto conjunto de regras da comunidade.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source Plataforma / Suíte Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Snort é o IDS/IPS open-source original. Mantido pela Cisco/Talos, é a referência em NIDS baseado em assinatura e o formato canônico de regras usado em vários produtos.

Conceitos essenciais para o CySA+:

  • Anatomia da regra: ação proto src_ip src_port -> dst_ip dst_port (msg:""; sid:; rev:; content:""; pcre:"";)
  • Modos: sniffer, logger, NIDS, inline IPS.
  • Fontes de regras: Snort VRT (paga), Snort community, ET Open.
  • Snort 3 traz multi-thread e inspeção HTTP/2.

Casos de uso

  • NIDS perimetral na saída para internet
  • IPS inline em segmentos críticos
  • "Detection-as-code" compartilhada por listas de SID

Exemplo

# Example community rule
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 ( \
    msg:"INDICATOR-SCAN SMB AUTH brute force attempt"; \
    flow:to_server,established; \
    sid:1000001; rev:1; )