ids_rule

Technische Vorschau

Eine Rolle zur Verwaltung von Regeln und Signaturen für verschiedene Intrusion Detection Systeme, die als "Anbieter" für die Rolle definiert sind.

Aktuelle unterstützte Liste der Anbieter:

• snort

Voraussetzungen

Red Hat Enterprise Linux 7.x oder eine abgeleitete Linux-Distribution wie CentOS 7, Scientific Linux 7 usw.

• idstools

Rollenvariablen

• ids_provider - Definiert, welcher IDS-Anbieter verwendet wird (Standardwert: "snort")
• ids_rule - Die Regel, die Sie zum verwalteten Satz von Regeln hinzufügen oder entfernen möchten
• ids_rule_state - Sollte entweder present oder absent sein
• ids_rules_file - Die zu verwaltende Regeldatei (Standard: /etc/snort/rules/local.rules)

Abhängigkeiten

Die Abhängigkeiten variieren je nach Anbieter

snort Abhängigkeiten

Beispiel-Playbook

- name: snort-Regeln verwalten
  hosts: idshosts
  become: ja
  become_user: root
  gather_facts: false

  vars:
    ids_provider: snort
    protocol: tcp
    source_port: any
    source_ip: any
    dest_port: any
    dest_ip: any

  tasks:
    - name: Snort Passwortangriffsregel hinzufügen
      include_role:
        name: "ids_rule"
      vars:
        ids_rule: 'alert {{protocol}} {{source_ip}} {{source_port}} -> {{dest_ip}} {{dest_port}}  (msg:"Versuchter Angriff auf /etc/passwd"; uricontent:"/etc/passwd"; classtype:attempted-user; sid:99000004; priority:1; rev:1;)'
        ids_rules_file: '/etc/snort/rules/local.rules'
        ids_rule_state: present

Lizenz

GPLv3

Autoreninformation

Ansible Security Automation Team