0x01

Suricata介紹

• Suricata安裝

官方網站：https://suricata-ids.org/
官方下載：https://suricata-ids.org/download/
官方借鑑安裝方法：https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation

安裝步驟：
# 安裝前準備的依賴環境包
# yum install epel-release
# sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make  libnetfilter_queue-devel lua-devel
# 下載Suricata
# wget http://www.openinfosecfoundation.org/download/suricata-4.1.4.tar.gz
# tar -zxvf suricata-3.1.tar.gz
# cd suricata-4.1.4
# ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

# make 
# make install  
# ldconfig

 

0x02

• 通過交換機配置映象流量
• 啟動Suricata 指定映象好的網絡卡介面

suricata -c /etc/suricata/suricat.yaml -i eth3 -D 

• 配置好規則測試

0x03

• 配置引數

mkdir /etc/suricata/
cp -a /root/suricata-4.1.4/classification.config /etc/suricata/
cp -a /root/suricata-4.1.4/reference.config /etc/suricata/
cp -a /root/suricata-4.1.4/rules /etc/suricata/
cp -a /root/suricata-4.1.4/suricata.yaml /etc/suricata/
cp -a /root/suricata-4.1.4/threshold.config /etc/suricata/

vim /etc/suricata/suricata/yaml
修改新增符合實際業務的內網ip地址即可，然後啟動服務

suricata -c /etc/suricata/suricata.yaml -i enp0s8 -D
 

0x04

• 檢視日誌記錄

預設情況下不修改suricata.yaml配置檔案，預設的日誌目錄/var/log/suricata/
在此目錄下，當啟動服務後會生成如下4個檔案：

eve.json  fast.log  stats.log  suricata.log

eve.json 用來檢視實際命中策略的日誌檔案，用作後期ELK讀取日誌使用
fast.log 同上是記錄實際命中策略的日誌檔案，根據不同的策略放在不同的檔案
stats.log 記錄Suricata的執行狀態
suricata.log 服務啟動成功與否的狀態資訊

0x05

• 後記

Suricata 可以用作IDS，IPS，通過交換機埠映象流量專門用作入侵檢測的用途，也可以蜜罐埋點，在IDS&IPS之前部署 蜜罐埋點，讓suricata接收到的流量是通過蜜罐進來的，這樣就確保進來的流量定可疑流量，需要重視並觀察。