نوشتن Rule در Snort برای اطلاع رسانی در خصوص پیوست های فایل Excel
در نرم افزار اسنورت می خواهم قانونی بنویسم که فایل های الصاق شده در صورتیکه اکسل باشند، پیغام دهد.به صورت زیر
alert tcp any any -> any any (msg:"email attachments"; pcre:"/(^[a-zA-Z0-9]+\.xlsx$)/"; sid: 10000012; rev: 1;)
اما جواب نمی دهد. می خواستم ببینم اشکال کار کجاست؟
2 پاسخ
اول از همه خوش اومدید به انجمن ITPRO ثانیه شما کدوم سرویس های ایمیل رو میخاین مانیتور کنید این رو مشخص کنید ، در نهایت این مواردی که در زیر هست رو در کد جایگزین کنید و نتیجه رو اعلام کنید :
pcre:"/\/[a-zA-Z0-9]{1,75}\.xls$/"
اگر مورد بالا جواب ندارد این مورد رو تست کنید :
pcre:"/\/[^\/]{1,75}\.xls$/"
سلام
خیلی ممنون از خوشامد گویی. واقعا انجمن پر باری دارید. ممنون
در واقع من می خواهم متوجه بشم که چه کسانی در شبکه، فایل اکسل ایمیل می کنند. یعنی فایل اکسل از شبکه خارج می شود و در نهایت می خواهم از Alert ای که اسنورت ایجاد کرده استفاده کنم و کاری کنم که فایروال فعال شده و آن فرد نتواند فایل اکسل را از شبکه خارج کند.
دو موردی که شما ذکر کردید جواب نمی دهد.