Keywords für Metadaten
Keywords für Metadaten haben keine unmittelbaren Auswirkungen darauf, ob Regeln zutreffen. Sie beeinflussen jedoch im Fall eines Regeltreffers das Reporting.
msg
Das Keyword msg
enthält Textinformationen über die Signatur und die mögliche Warnung.
msg
hat folgendes Format:
msg: "Beschreibung";
Zum Beispiel:
msg:"ATTACK-RESPONSES 403 Forbidden";
msg:"ET EXPLOIT SMB-DS DCERPC PnP bind attempt";
Bemerkung
Die folgenden Zeichen müssen in msg
maskiert werden: ;
\
"
sid
Das Keyword sid
(Signatur-ID) weist jeder Signatur eine ID zu. Diese ID wird mit einer Zahl angegeben. sid
hat folgendes Format:
sid:123;
rev
rev
stellt die Version der Signatur dar. Immer wenn eine Signatur aktualisiert wird, sollte rev
inkrementiert werden. Das Format ist:
rev:123;
classtype
Das Keyword classtype
enthält Informationen zur Klassifikation von Regeln und Warnungen. Es besteht aus einem kurzen Namen, der für das Reporting in eine Priorität übersetzt werden kann.
Folgendes Beispiel meldet einen Treffer der Klasse „trojan-activity“:
drop tcp any any -> any any (msg:"classtype example"; content:"placeholder"; \
classtype:trojan-activity; sid:1; rev:1;)
Tipp
Es ist Konvention, dass classtype
vor sid
und rev
, aber nach den übrigen Keywords steht.
reference
Das Keyword reference
enthält zusätzliche Informationen zum Zweck der Regel und den Angriffen, die sie erkennt. reference
kann mehrfach in einer Signatur vorkommen. Dieses Keyword ist für Signaturersteller und -analysten gedacht, die untersuchen, warum eine Signatur getroffen hat.
Es hat folgendes Format:
reference: type, reference
Zum Beispiel wäre eine typische Referenz auf www.genua.de:
reference: url, www.genua.de
Zudem gibt es auch mehrere Systeme, die als Referenz genutzt werden können. Ein allgemein bekanntes Beispiel ist die CVE-Datenbank, die Schwachstellen Nummern zuweist. Sie kann zum Beispiel folgendermaßen referenziert werden:
reference: cve, CVE-2014-1234
Das erstellt eine Referenz auf http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1234.
priority
Bemerkung
cognitix Threat Defender unterstützt dieses Keyword nicht.
metadata
Mit dem Keyword metadata
können zusätzliche nicht-funktionale Informationen zur Signatur hinzugefügt werden. Das Format ist:
metadata: Wert;
metadata: Wert, Wert;
Das Keyword metadata
wird oft verwendet, um die Zeitstempel der Signaturerstellung (created_at
) und letzten Aktualisierung (updated_at
) hinzuzufügen.
Zum Beispiel:
metadata:created_at 2010_09_23, updated_at 2010_09_23;
target
cognitix Threat Defender wertet das Keyword target
nicht aus.