网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载

最新推荐文章于 2024-05-13 08:17:58 发布
最新推荐文章于 2024-05-13 08:17:58 发布
阅读量862 收藏 2
点赞数
分类专栏: 网络安全学习 文章标签: docker suricata rulesets IDS Reloading
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penriver/article/details/127980052
版权
本文介绍了如何在Docker环境下管理Suricata的规则集,包括启动容器、更新规则、查看激活的规则集、添加远程源、以及处理规则集的重新加载和日志权限问题。重点讲述了Suricata-update工具的使用,如更新et和oisf规则集,以及如何通过定时任务实现规则的自动更新和重新加载。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

suricata的安装及运行示例参见:
网络安全系列-三十六:使用Suricata IDS分析pcap文件
docker-suricata

1. 启动容器

启动容器,配置如下:

  • 在主机上的网络接口上运行Suricata,而不是在容器中通常提供的网络接口上运行--net=host --cap-add=net_admin --cap-add=net_raw --cap-add=sys_nice
  • 容器将尝试以非根用户的身份运行Suricata,为了监视网络接口并删除root权限,容器必须具有sys_nicenet_adminnet_raw功能
  • 自定义Volumes,方便修改配置文件、查看日志、查看rules等
  • SURICATA_OPTIONS环境变量可用于向Suricata传递命令行选项
docker run
了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2414
本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricatarulesets激活更新动态加载]的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
suricata-update用于更新和下载suricata规则
allway2的博客
07-09 3143
Suricata-update suricata-update用于更新和下载suricata规则更新您的规则 不进行任何配置,suricata-update的默认操作是使用“新兴威胁开放”规则集。 suricata-update 该命令将: 在您的路径中查找suricata程序,以确定其版本。 查找/etc/suricata/enable.conf,/etc/suricata/disable.conf,/etc/suricata/drop.conf,和/etc/suricata/modi.
suricata 开源工具学习-规则了解
qq_41167620的博客
01-24 1725
匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)
suricata-dockersuricatadocker实现
02-24
suricata-docker suricatadocker实现
suricata规则字段解析
simply
08-31 971
另外,默认情况下,content中给定的值是包含运算(模糊匹配,但是不是正则表达式),同时也可以在content后面具体指定对应的字段,比如http_stat_code,http_url等。其中http_request_line表示请求头,http_request_body表示请求体,http_response_line表示响应头,http_response_body表示响应体。
Suricata+ELK 8.4.3(docker)可视化
Purpose_7的博客
10-14 3514
Suricata+ELK 8.4.3(docker)可视化
Suricata】03-Suricata 7.0.x 规则管理
最新发布
Simo2024的博客
05-13 1793
本文介绍了Suricata开源规则库的更新、查看、启用、关闭、删除。具体规则的启用、禁用、修改、删除;以及如何在不重启suricata引擎的情况下,如何重新加载规则,给规则设置白名单等操作。
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用DockerDocker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的OS_SURICATA设置为alpine 。 要进行选择,您必须设置OS_SURICATA环境变量或更改.env文件中的值。 可用值: 高山的 首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 7289
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
suricata的简单探究
围城
06-26 1152
20210625- 0.引言 写过一篇文章《Suricata+ELK(Docker化部署)数据展示》,利用suricata在流量出口位置实现网络流量的事件监测。当时采用的规则,是一些开源的规则,当时使用完这些规则之后,发现误报什么的,还是挺多的。 对于suricata来说,这个软件我还是使用了非常多的,因为他本身作为一个流量处理引擎,完成的事情也挺多。所以最近就想着,能不能对他深入进行一些理解,所以在这篇文章中进行记录。 (文章属于自己阅读过程中的随感产物) 1. suricata的学习记录 本部分并没有参
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像 用法 您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface> 但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \ jasonish/suricata:latest -i <interface> 它将日志目录(在当前目
Amsterdam:基于DockerSuricata,Elasticsearch,Logstash,Kibana,Sirius aka SELKS
05-15
阿姆斯特丹 介绍 阿姆斯特丹是使用Compose的SELKS和Docker。 阿姆斯特丹的结果是提供了完整的Suricata IDS / NSM生态系统的一组容器: 苏里卡塔 弹性搜索 Logstash 基巴纳 希里乌斯 Evebox( ) ELK堆栈是使用官方docker映像创建的。 Logstash和Suricata之间的通信是通过共享目录(来自主机)完成的。 这适用于共享/ etc / suricata / rules目录的scirius和suricata。 安装 通用的 您可以通过运行从源目录安装amsterdam sudo python setup.py install 或者您可以使用pip安装最新发布的版本 sudo pip install amsterdam 德比安 您需要安装Docker。 在Debian上 sudo apt-get install docker.
suricata构建器:使用Docker和Vagrant的各种发行版和操作系统的Suricata构建器
02-06
Suricata建筑商(用于开发) 要求 Docker for基于Docker的构建 Vagrant和VirtualBox for Vagrant构建。 运行特定版本 例如,在您的Suricata源目录中运行CentOS 7: /path/to/suricata-builders/docker-centos-7/run.sh 问题 每个容器都设置一个构建器用户,在某些情况下,此用户的UID在构建时是固定的,因此,如果创建容器的用户与运行容器的用户相同,则这些构建器的工作效果最佳。 在单用户开发人员计算机上,这应该不是问题。 命令行选项 --skip-configure 跳过./autoge
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
suricata + ELK/Splunk 可视化
qq_33899456的博客
09-27 1889
suricata可视化 方式1:suicata + ELK 1.1 在展示数据的机器上配置dockers环境 1.2 部署架构 机器 部署内容 IP 流量机器 suricata监听流量+filebeat传输数据 192.168.1.110 数据展示机器 docker部署ELK 192.168.10.120 1.3 Docker镜像准备(尽量下载最新版) docker pull logstash:7.7.0 docker pull kibana:7.7.0 docker pull el
网络安全系列-三十六:使用Suricata IDS分析pcap文件
penriver的博客
11-07 1442
Suricata是一款高性能、开源的网络分析和威胁检测软件. Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。 本文讲解如何使用Suricata IDS分析pcap文件,并针对分析的结果进行分析
suricata之linux编译
hezhanran的博客
10-26 3328
suricata编译
suricata 架构图------持续更新
superbfly的专栏
01-31 7781
suricata架构,红色文字为待分析部分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

enjoy编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值