Keywords für Metadaten

Keywords für Metadaten haben keine unmittelbaren Auswirkungen darauf, ob Regeln zutreffen. Sie beeinflussen jedoch im Fall eines Regeltreffers das Reporting.

msg

Das Keyword msg enthält Textinformationen über die Signatur und die mögliche Warnung.

msg hat folgendes Format:

msg: "Beschreibung";

Zum Beispiel:

msg:"ATTACK-RESPONSES 403 Forbidden";
msg:"ET EXPLOIT SMB-DS DCERPC PnP bind attempt";

Bemerkung

Die folgenden Zeichen müssen in msg maskiert werden: ; \ "

sid

Das Keyword sid (Signatur-ID) weist jeder Signatur eine ID zu. Diese ID wird mit einer Zahl angegeben. sid hat folgendes Format:

sid:123;

rev

rev stellt die Version der Signatur dar. Immer wenn eine Signatur aktualisiert wird, sollte rev inkrementiert werden. Das Format ist:

rev:123;

classtype

Das Keyword classtype enthält Informationen zur Klassifikation von Regeln und Warnungen. Es besteht aus einem kurzen Namen, der für das Reporting in eine Priorität übersetzt werden kann.

Folgendes Beispiel meldet einen Treffer der Klasse „trojan-activity“:

drop tcp any any -> any any (msg:"classtype example"; content:"placeholder"; \
classtype:trojan-activity; sid:1; rev:1;)

Tipp

Es ist Konvention, dass classtype vor sid und rev, aber nach den übrigen Keywords steht.

reference

Das Keyword reference enthält zusätzliche Informationen zum Zweck der Regel und den Angriffen, die sie erkennt. reference kann mehrfach in einer Signatur vorkommen. Dieses Keyword ist für Signaturersteller und -analysten gedacht, die untersuchen, warum eine Signatur getroffen hat.

Es hat folgendes Format:

reference: type, reference

Zum Beispiel wäre eine typische Referenz auf www.genua.de:

reference: url, www.genua.de

Zudem gibt es auch mehrere Systeme, die als Referenz genutzt werden können. Ein allgemein bekanntes Beispiel ist die CVE-Datenbank, die Schwachstellen Nummern zuweist. Sie kann zum Beispiel folgendermaßen referenziert werden:

reference: cve, CVE-2014-1234

Das erstellt eine Referenz auf http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1234.

priority

Bemerkung

cognitix Threat Defender unterstützt dieses Keyword nicht.

metadata

Mit dem Keyword metadata können zusätzliche nicht-funktionale Informationen zur Signatur hinzugefügt werden. Das Format ist:

metadata: Wert;
metadata: Wert, Wert;

Das Keyword metadata wird oft verwendet, um die Zeitstempel der Signaturerstellung (created_at) und letzten Aktualisierung (updated_at) hinzuzufügen.

Zum Beispiel:

metadata:created_at 2010_09_23, updated_at 2010_09_23;

target

cognitix Threat Defender wertet das Keyword target nicht aus.