ids_rule

Présentation technique

Un rôle pour gérer des règles et des signatures pour plusieurs systèmes de détection d'intrusions différents, qui sont définis comme des "fournisseurs" au rôle.

Liste actuelle des fournisseurs pris en charge :

• snort

Conditions préalables

Red Hat Enterprise Linux 7.x, ou une distribution Linux dérivée telle que CentOS 7, Scientific Linux 7, etc.

• idstools

Variables de rôle

• ids_provider - Cela définit quel fournisseur IDS (Valeur par défaut : "snort")
• ids_rule - La règle que vous souhaitez ajouter ou supprimer dans l'ensemble de règles géré
• ids_rule_state - Doit être soit present soit absent
• ids_rules_file - Le fichier de règles à gérer (par défaut : /etc/snort/rules/local.rules)

Dépendances

Les dépendances varient selon le fournisseur.

Dépendances de snort

• [

Exemple de Playbook

- name: gérer les règles snort
  hosts: idshosts
  become: yes
  become_user: root
  gather_facts: false

  vars:
    ids_provider: snort
    protocol: tcp
    source_port: any
    source_ip: any
    dest_port: any
    dest_ip: any

  tasks:
    - name: Ajouter une règle d'attaque par mot de passe snort
      include_role:
        name: "ids_rule"
      vars:
        ids_rule: 'alert {{protocol}} {{source_ip}} {{source_port}} -> {{dest_ip}} {{dest_port}}  (msg:"Tentative d'attaque /etc/passwd"; uricontent:"/etc/passwd"; classtype:attempted-user; sid:99000004; priority:1; rev:1;)'
        ids_rules_file: '/etc/snort/rules/local.rules'
        ids_rule_state: present

Licence

GPLv3

Informations sur l'auteur

Équipe d'automatisation de la sécurité Ansible