ids_rule

Wersja techniczna

Rola do zarządzania regułami i sygnaturami dla różnych systemów wykrywania włamań, które są zdefiniowane jako "dostawcy" roli.

Aktualnie obsługiwane dostawcy:

• snort

Wymagania

Red Hat Enterprise Linux 7.x lub pochodna dystrybucja Linuxa, taka jak CentOS 7, Scientific Linux 7, itd.

• idstools

Zmienne roli

• ids_provider - Określa, który dostawca IDS (Wartość domyślna: "snort")
• ids_rule - Reguła, którą chcesz dodać lub usunąć z zarządzanego zestawu reguł
• ids_rule_state - Powinno być jedną z wartości present lub absent
• ids_rules_file - Plik z regułami, którym zarządzasz (domyślnie: /etc/snort/rules/local.rules)

Zależności

Zależności będą różne w zależności od dostawcy

Zależności snort

• [

Przykładowy Playbook

- name: zarządzaj regułami snort
  hosts: idshosts
  become: tak
  become_user: root
  gather_facts: nie

  vars:
    ids_provider: snort
    protocol: tcp
    source_port: dowolny
    source_ip: dowolny
    dest_port: dowolny
    dest_ip: dowolny

  tasks:
    - name: Dodaj regułę ataku na hasło snort
      include_role:
        name: "ids_rule"
      vars:
        ids_rule: 'alert {{protocol}} {{source_ip}} {{source_port}} -> {{dest_ip}} {{dest_port}}  (msg:"Próba ataku na /etc/passwd"; uricontent:"/etc/passwd"; classtype:attempted-user; sid:99000004; priority:1; rev:1;)'
        ids_rules_file: '/etc/snort/rules/local.rules'
        ids_rule_state: present

Licencja

GPLv3

Informacje o autorze

Zespół Automatyzacji Bezpieczeństwa Ansible