JA3-Keywords

JA3 ist ein von Salesforce entwickelter Algorithmus, der Fingerprints für TLS-Endpunkte auf Basis der Metadaten in ihrem Handshake berechnet.

Für weitere Informationen finden Sie in diesem Blogpost von Salesforce Engineering

ja3.hash

Trifft den MD5-Hash der JA3-Signatur des TLS-Clients.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in ja3 fingerprint of a client"; \
ja3.hash; content:"68b329da9893e34099c7d8ad5cb9c940"; sid:1; rev:1;)

ja3.string ist ein Sticky Buffer, der nur mit einem content-Feld verwendet werden kann, das genau 32 Zeichen enthält, die nicht negiert werden können.

ja3s.hash

Trifft den MD5-Hash der JA3-Signatur des TLS-Servers.

Zum Beispiel:

alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in ja3 fingerprint of a server"; \
ja3s.hash; content:"68b329da9893e34099c7d8ad5cb9c940"; sid:1; rev:1;)

ja3s.string ist ein Sticky Buffer, der nur mit einem content-Feld verwendet werden kann, das genau 32 Zeichen enthält, die nicht negiert werden können.

cognitix Threat Defender unterstützt auch das veraltete Keyword ja3_hash, allerdings sollte es nicht mehr verwendet werden.