ids_rule

Технический предварительный просмотр

Роль для управления правилами и подписями для различных систем обнаружения вторжений, которые определяются как "поставщики" для роли.

Текущий поддерживаемый список поставщиков:

• snort

Требования

Red Hat Enterprise Linux 7.x или производные дистрибутивы Linux, такие как CentOS 7, Scientific Linux 7 и др.

• idstools

Переменные роли

• ids_provider - Определяет, какой поставщик IDS (значение по умолчанию: "snort")
• ids_rule - Правило, которое вы хотите добавить или удалить из управляемого набора правил
• ids_rule_state - Должно быть одним из present или absent
• ids_rules_file - Файл правил, которым управлять (по умолчанию: /etc/snort/rules/local.rules)

Зависимости

Зависимости будут различаться в зависимости от поставщика

Зависимости snort

• [

Пример плейбука

- name: управление правилами snort
  hosts: idshosts
  become: yes
  become_user: root
  gather_facts: false

  vars:
    ids_provider: snort
    protocol: tcp
    source_port: any
    source_ip: any
    dest_port: any
    dest_ip: any

  tasks:
    - name: Добавить правило атаки паролем snort
      include_role:
        name: "ids_rule"
      vars:
        ids_rule: 'alert {{protocol}} {{source_ip}} {{source_port}} -> {{dest_ip}} {{dest_port}}  (msg:"Попытка атаки на /etc/passwd"; uricontent:"/etc/passwd"; classtype:attempted-user; sid:99000004; priority:1; rev:1;)'
        ids_rules_file: '/etc/snort/rules/local.rules'
        ids_rule_state: present

Лицензия

GPLv3

Информация об авторе

Команда автоматизации безопасности Ansible