форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

" - слишком много алертов"
Сообщение от Knell on 26-Авг-03, 11:37  (MSK)
можно ли составить какие-нибудь фильтры, которые например не будут давать писать алерты по по определенному критерию ? например писать только те, где dst ip - мой, плюс не логгить ICMP Destination Unreachable (Communication Administratively Prohibited) - к примеру. а то по несколько тысяч алертов за ночь набирается. или это только включением-выключением используемых сигнатур делается ? -( заранее спасибо за ответ
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. " - слишком много алертов"
Сообщение от Paul on 26-Авг-03, 12:00  (MSK)
IDS-то какая?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. " - слишком много алертов"
	Сообщение от Knell on 26-Авг-03, 12:08  (MSK)
	блин, пардон, не проснулся еще -) snort OC : FreeBSD
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. " - слишком много алертов"
	Сообщение от Paul on 27-Авг-03, 17:01  (MSK)
	$HOME_NET (или как она там называется?) не задана разве? Она и определяет домашнюю (твою) сеть и все правила снорта написаны с учетом этой переменной.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.