運用を始めると、検出の必要のないアラートも数多く記録されている事に気が付くと思います。設置される場所や、監視するインターフェイスによっても異なります。
私の場合、検出する必要がないと確信できる場合に限り、以下の方法でパケットを無視するようにしています。 誤検知を失くすチューニング、というより、必要のないパケットを絞り込んで無視するようにしています。
例えば、以下のアラートを検知されないようにしたいとします。
[**] [1:1201:7] ATTACK-RESPONSES 403 Forbidden [**]
[Classification: Attempted Information Leak] [Priority: 2]
07/17-17:15:36.176864 0:40:5:A8:8D:AD -> 0:D:2:4A:F9:96 type:0x800 len:0x1AA
192.168.*.**:80 -> 143.90.**.22:8080 TCP TTL:64 TOS:0x0 ID:50996 IpLen:20 DgmLen:412 DF
***AP*** Seq: 0xBA4076DE Ack: 0x1E4ECF5C Win: 0x1920 TcpLen: 20
自由にフィルタ設定が行える local.rules に以下を追記し、snort を再起動することで、上記アラート、攻撃パターンも記録されなくなります。 (誤植ありました<(_ _)>)
pass tcp 192.168.4.77 80 -> 143.90.**.22 8080
この場合、pass で特定のIPアドレス、ポートから特定の特定のIPアドレスを無視するように指定する事で、検知される事はなくなります。
上記、Snort の pass アクションを有効にするには、pass アクションの評価順位を変更する必要があります。これは、snort の起動因数に -o を付けて起動します。
snort-2.6.x では、/etc/sysconfig/snort に以下のように指定します。
注意
この方法では、この経路のパケット全て無視するため、他のこの経路を使った攻撃パターンにマッチする他の攻撃まで無視される事に留意する必要があります。