我刚开始使用 Snort。它有很多。我只是在寻找关于某些 Snort 规则实际含义的更好文档——即当我弹出给定规则的警报时我应该如何对它们做出反应。似乎 Snort 文档、示例和论坛假设了很多我似乎还没有的深奥的网络安全管理员背景知识。

例如，我发现了这个：

https://www.snort.org/rule-docs/119-3

然而，Snort 网站的那个部分已经过时了，搜索部分不起作用，当我手动输入许多我感兴趣的规则 ID 时，会弹出 404。

例如，对于 stream5 预处理器：

• https://www.snort.org/rule-docs/129-1 <-- 这行得通
• https://www.snort.org/rule-docs/129-12 <-- 这是 404

第二个“129:12”有“连续TCP小段超过阈值”的文字描述。那有什么意思？以何种方式表明存在问题？我检查了我们的网络，只有可接受的网络活动（我可以说）。在 Snort 对这个特定问题非常详细（大约每分钟 100 条消息）的事件中，该问题被追踪到通过我们的 squid 代理传递的授权流量。

那么，我应该压制所有这些消息吗？这是调整 Snort 的正常方式吗？只是抑制噪音？这让我觉得很疯狂......如果我压制所有这些消息，如果有这个类的消息实际上表明有问题怎么办？

我希望你能明白。

目前我正在使用pullpork 来组装规则集，并通过threshold.conf 中的抑制指令来抑制嘈杂的规则。

最后，我应该提一下，我正在以一种非常规的方式运行 Snort，作为一种解决方法，以满足 IDS 对 PCI 的要求，同时在 AWS 云中运行。长话短说，我们在所有我们归类为“边缘”盒子的盒子上运行 Snort，并在这些盒子上嗅探流量。如果需要，我会提供更多细节，但这不会改变这个问题的基本要点。