suricata关键配置项说明

最新推荐文章于 2024-05-11 09:08:44 发布
最新推荐文章于 2024-05-11 09:08:44 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: suricata 文章标签: suricata IDS IPS 配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GenteelDevil/article/details/106671096
版权

suricata配置说明

文章目录

0x01 配置文件及日志输出简要介绍

suricata有两个重要输入和输出文件夹,输入文件夹是配置文件夹,输出文件夹时日志文件夹。

配置文件夹的默认位置是在:/etc/suricata/,文件夹大致的结构为

$ tree -L 1
.
├── classification.config
├── classification.config.dpkg-old
├── reference.config
├── rules
├── suricata.yaml
└── threshold.config

需要重点关注的是suricata.yaml文件和rules文件夹

suricata.yaml文件是对于suricata的软件配置。

rules文件夹中存放了相关的检测规则,如果在suricata运行过程中有数据包分析触发了检测规则,则会以日志的形式输出。

0x02 进行配置

通过修改suricata.yaml文件对软件进行配置,大致的流程如下:

  1. 选择suricata守护的网段或IP
  2. 配置日志输出器
  3. 选择检测规则
  4. 测试规则文件

具体的流程如下:

1 选择suricata守护的网段或IP

suricat可

最低0.47元/天 解锁文章
One-Shell
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6408
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
Suricata】02-Suricata 7.0.x基础配置
最新发布
Simo2024的博客
05-11 1414
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
Suricata 离线部署及rules规则触发使用教程(支持windows虚拟机及centos7_arm64_服务器)
qq_45560958的博客
09-19 1413
这一次虽然直接安装成功了,但是我第一次安装suricata的时候报错,缺少库,不论是虚拟机上和在线的centos服务器上都报缺库,并且他们缺的库名称还不一样,报错的时候我没截图,如果你也会报错的话解决方案如下,只做参考,实际根据你缺的库进行调整。因为我在离线机器和在线机器映射的是同一个windows的文件夹,所以我两个虚拟机里的文件内容是一样的,如果你没有映射同一个文件夹,可以直接把在线机器的文件拷贝出来,然后放到离线机器的任意目录下面也可以以,下面配置离线源。
Suricata 规则classtype和规则文件分类说明
u011311291的博客
01-09 5257
文件名为:classification.config config classification: not-suspicious,Not Suspicious Traffic,3 #不可疑的流量? config classification: unknown,Unknown Traffic,3 #未知流量 config classification: bad-unknown,Potentially...
如何使用Applocker保护Windows免受恶意软件和有害可执行文件的侵害?
cunjiu9486的博客
10-10 659
Windows ecosystem generally works with 3 party applications easily while installing and running them. This creates some risk especially for the novice users. Windows administrators generally want to r...
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap生成警报。 通过HTTP或上传文件添加规则。 通过HTTP(EmergingThreat ...)更新计划规则 将规则分组,然后将其...
Suricata规则库:网络流量监控与安全防护的利器
gitblog_00024的博客
04-09 365
Suricata规则库:网络流量监控与安全防护的利器 目地址:https://gitcode.com/suricata-rules/suricata-rules Suricata规则库是一个开源目,专门为Suricata网络安全引擎提供了一系列规则和配置,用于检测、预防和响应网络上的恶意活动。这个目的目的是帮助IT专业人员更好地保护他们的网络环境,防止各种网络安全威胁。 目简介 Suric...
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6038
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
搭建suricata系统 网络流量检测系统
m0_48474237的博客
05-31 938
1.配置suricata sudo vim /etc/suricata/suricata.yaml 有许多可能的配置,我们主要关注HOME_NET变量的设置和网络接口配置。在大多数情况下,HOME_NET变量应该包括被监控接口的IP地址和所有使用的本地网络。 2.更新suricata规则 sudo suricata-update Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此称为规则文件。使用该工具,Suricata -update规则可以被获取、更新和
suricata自带的规则/网上能找到的Suricata规则
oXingYunQing的博客
09-09 3799
(1) (2) https://zhuanlan.zhihu.com/p/36340468 Suricata规则介绍、以及使用suricata-update做规则管理
Suricata入侵检测系统的搭建
煜铭2011
11-20 8552
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
go log包日志管理详解
爱死亡机器人
04-01 1552
1. Log三类方法 Print() 用于输出日志 Fatal() 输出日志的同时,调用os.Exit(1)方法退出,小提示:如果函数下存在defer不会执行 Panic() 输出日志的同时,调用panic方法,但defer会执行 三类区别: Fatal会保存日志并终止程序,Panic会保存日志并丢出异常终止程序,Print会保存日志但是程序继续 三类源代码 func Printl...
Suricata Rules
weixin_30588827的博客
08-22 636
Suricata Rules https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules https://suricata.readthedocs.io/en/suricata-4.1.4/rules/index.html Suricata Rules Introduct...
suricata安装配置
Leeboy_Wang的专栏
01-25 5481
suricata是开源的IPS工具,其中使用了netfilter_queue库,可以借鉴 安装:(https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_Installation) rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-r
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6129
Suricata介绍
suricata如何配置rejectboth
06-13
Suricata可以通过配置rejectboth来拒绝(reject)同时包含源IP和目标IP的流量,也就是双向流量。要启用rejectboth,需要在Suricata配置文件中添加以下行: ``` reject: enabled: yes mode: rejectboth ``` 这...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值