0x01
Suricata介绍
- Suricata安装
官方网站:https://suricata-ids.org/
官方下载:https://suricata-ids.org/download/
官方借鉴安装方法:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation
安装步骤:
# 安装前准备的依赖环境包
# yum install epel-release
# sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel
# 下载Suricata
# wget http://www.openinfosecfoundation.org/download/suricata-4.1.4.tar.gz
# tar -zxvf suricata-3.1.tar.gz
# cd suricata-4.1.4
# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua
# make
# make install
# ldconfig
0x02
- 通过交换机配置镜像流量
- 启动Suricata 指定镜像好的网卡接口
suricata -c /etc/suricata/suricat.yaml -i eth3 -D
- 配置好规则测试
0x03
- 配置参数
mkdir /etc/suricata/
cp -a /root/suricata-4.1.4/classification.config /etc/suricata/
cp -a /root/suricata-4.1.4/reference.config /etc/suricata/
cp -a /root/suricata-4.1.4/rules /etc/suricata/
cp -a /root/suricata-4.1.4/suricata.yaml /etc/suricata/
cp -a /root/suricata-4.1.4/threshold.config /etc/suricata/
vim /etc/suricata/suricata/yaml
修改添加符合实际业务的内网ip地址即可,然后启动服务
suricata -c /etc/suricata/suricata.yaml -i enp0s8 -D
0x04
- 查看日志记录
默认情况下不修改suricata.yaml配置文件,默认的日志目录/var/log/suricata/
在此目录下,当启动服务后会生成如下4个文件:
eve.json fast.log stats.log suricata.log
eve.json 用来查看实际命中策略的日志文件,用作后期ELK读取日志使用
fast.log 同上是记录实际命中策略的日志文件,根据不同的策略放在不同的文件
stats.log 记录Suricata的运行状态
suricata.log 服务启动成功与否的状态信息
0x05
- 后记
Suricata 可以用作IDS,IPS,通过交换机端口镜像流量专门用作入侵检测的用途,也可以蜜罐埋点,在IDS&IPS之前部署 蜜罐埋点,让suricata接收到的流量是通过蜜罐进来的,这样就确保进来的流量定可疑流量,需要重视并观察。