Référence de l’inspecteur Snort 3

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de la traduction

Cisco peut fournir des traductions du présent contenu dans la langue locale pour certains endroits. Veuillez noter que des traductions sont fournies à titre informatif seulement et, en cas d’incohérence, la version anglaise du présent contenu prévaudra.

Book Contents

Find Matches in This Book

Results

Mis à jour:: 27 août 2024

SnortML

Type	Inspecteur (passif)
Usage	Inspecter
Type d’instance	Singleton
Autres inspecteurs requis	`snort_ml_engine, http_inspect`
Activé	Max Detect

Chaque jour, de nouvelles vulnérabilités sont découvertes dans des logiciels essentiels au fonctionnement du monde moderne. Les analystes en sécurité décortiquent ces nouvelles vulnérabilités, isolent les éléments nécessaires à leur déclenchement et créent des signatures pour détecter les exploits qui les ciblent. La plupart des signatures ne peuvent être conçues que pour des vulnérabilités spécifiques.

SnortML est un système de détection des exploits basé sur un réseau neuronal et conçu pour le système de prévention des intrusions Snort. Il est non seulement capable d’apprendre à détecter des attaques connues à partir de données d’entraînement, mais aussi d’apprendre à détecter des attaques qu’il n’a encore jamais rencontrées.

L’inspecteur snort_ml recherche principalement les attaques par injection SQL sur HTTP. Comme cet inspecteur peut avoir une incidence sur les performances, il n’est activé par défaut qu’en mode Max Detect (détection maximale).

Règles SnortML

Activez la règle de l’inspecteur snort_ml pour générer des événements et, dans un déploiement en ligne, supprimer les paquets incriminés. La règle de l’inspecteur snort_ml n’est activée par défaut que dans le cadre de la politique NAP de détection maximale.