JA3-Keywords
JA3 ist ein von Salesforce entwickelter Algorithmus, der Fingerprints für TLS-Endpunkte auf Basis der Metadaten in ihrem Handshake berechnet.
Für weitere Informationen finden Sie in diesem Blogpost von Salesforce Engineering
ja3.hash
Trifft den MD5-Hash der JA3-Signatur des TLS-Clients.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in ja3 fingerprint of a client"; \
ja3.hash; content:"68b329da9893e34099c7d8ad5cb9c940"; sid:1; rev:1;)
ja3.string
ist ein Sticky Buffer, der nur mit einem content
-Feld verwendet werden kann, das genau 32 Zeichen enthält, die nicht negiert werden können.
ja3s.hash
Trifft den MD5-Hash der JA3-Signatur des TLS-Servers.
Zum Beispiel:
alert tls any any -> any any (classtype:misc-attack; \
msg:"content matching in ja3 fingerprint of a server"; \
ja3s.hash; content:"68b329da9893e34099c7d8ad5cb9c940"; sid:1; rev:1;)
ja3s.string
ist ein Sticky Buffer, der nur mit einem content
-Feld verwendet werden kann, das genau 32 Zeichen enthält, die nicht negiert werden können.
cognitix Threat Defender unterstützt auch das veraltete Keyword ja3_hash
, allerdings sollte es nicht mehr verwendet werden.