Suricata-update
suricata-update用于更新和下载suricata规则。
更新您的规则
不进行任何配置,suricata-update 的默认操作是使用“新兴威胁开放”规则集。
suricata-update
该命令将:
在您的路径中查找suricata程序,以确定其版本。
查找/etc/suricata/enable.conf,/etc/suricata/disable.conf,/etc/suricata/drop.conf,和/etc/suricata/modify.conf寻找过滤器适用于下载rules.These文件是可选的,不需要存在。
下载适用于您的Suricata版本的Emerging Threats Open规则集,如果未找到,则默认为4.0.0。
应用启用,禁用,删除和修改上面加载的过滤器。
写出来的规则/var/lib/suricata/rules/suricata.rules。
运行Suricata在测试模式下开启/var/lib/suricata/rules/suricata.rules。
Suricata-update对规则文件采取与Suricata传统不同的约定。最明显的区别是,规则被默认保存在/var/lib/suricata/rules/suricata.rules。
加载规则的一种方法是使用 -S Suricata命令行选项。另一种是将您的suricata.yaml更新为如下所示:
default-rule-path:/var/lib/suricata/rules
规则文件:
- suricata.rules
这将是Suricata的未来格式, 因此使用此格式将成为未来的证明。
发现其他可用规则源
首先使用update-sources命令更新规则源索引:
suricata-update update-sources
将如下所示:
此命令将使用所有可用规则源来更新 suricata-update。
suricata-update list-sources
将如下所示:
现在,我们将启用所有(免费)规则源,对于付费源,您当然需要拥有一个帐户并付款。启用付费源时,系统会要求您输入该源的用户名/密码。您只需要输入一次,因为suricata-update保存该信息。
suricata-update enable-source ptresearch/attackdetection
suricata-update enable-source oisf/trafficid
suricata-update enable-source sslbl/ssl-fp-blacklist
将如下所示:
然后再次更新您的规则,以下载最新的规则以及刚刚添加的规则集。
suricata-update
看起来像这样:
要查看启用了哪些源,请执行以下操作:
suricata-update list-enabled-sources
看起来像这样:
禁用源
禁用源会保留源配置,但会禁用源配置。当源要求您不想丢失的参数(例如代码)时,这很有用,如果您删除了源,则会发生这种情况。
启用禁用的源会重新启用,而不会提示用户输入。
suricata-update disable-source et/pro
移除源
suricata-update remove-source et/pro
这将删除此源的本地配置。重新启用et/pro将需要重新输入您的访问代码,因为et/pro是一种付费资源。