使用Suricata和ELK进行网络入侵检测

最新推荐文章于 2023-04-11 20:55:24 发布
最新推荐文章于 2023-04-11 20:55:24 发布
阅读量1.7w 收藏 39
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomaiaidandan/article/details/81194371
版权

数据包捕获是实现网络入侵检测系统(IDS)和执行网络安全监控(NSM)的关键组件。 有几种开源IDS工具可以处理数据包捕获并查找可能的网络入侵和恶意活动的签名。 

其中一个开源工具是Suricata,这是一种IDS引擎,它使用规则集来监控网络流量,并在发生可疑事件时触发警报。 Suricata提供多线程引擎,这意味着它可以以更快的速度和效率执行网络流量分析。 有关Suricata及其功能的更多详细信息,请访问其网站https://suricata-ids.org/。

本文介绍如何使用Network Watcher,Suricata和Elastic Stack设置环境以执行网络入侵检测。 Network Watcher为您提供用于执行网络入侵检测的数据包捕获。 Suricata根据与其给定的威胁规则集匹配的数据包处理数据包捕获并触发警报。 这些警报存储在本地计算机上的日志文件中。 使用Elastic Stack,Suricata生成的日志可以编制索引并用于创建Kibana仪表板,为您提供日志的可视化表示,以及快速获取潜在网络漏洞洞察力的方法。

步骤:

1. 安装Suricata

具体安装过程可参考官方文档 http://suricata.readthedocs.io/en/latest/install.html

在Ubuntu系统上,可以通过以下命令进行安装

sudo add-apt-repository ppa:oisf/suricata-stable

sudo apt-get update

sudo apt-get install suricata

可通过以下命令行检验安装是否完成

suricata -h

在这个阶段,我们没有Suricata运行的任何规则。 如果您希望检测到特定的网络威胁,则可以创建自己的规则,也可以使用来自许多提供程序的开发规则集,例如Emerging Threats或Snort的VRT规则。 我们在此处使用可自由访问的Emerging Threats规则集:

wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

tar zxf emerging.rules.tar.gz

sudo cp -r rules /etc/suricata/

 

2. 安装Elasticsearch

虽然Suricata生成的日志包含有关我们网络上发生的事情的有价值信息,但这些日志文件并不是最容易阅读和理解的。 通过将Suricata与Elastic Stack连接起来,我们可以创建一个Kibana仪表板,使我们能够从日志中搜索,绘图,分析和获取洞察。

版本5.0及更高版本的Elastic Stack需要Java 8.运行命令ja

最低0.47元/天 解锁文章
Maywishes
关注
  • 4
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
ELK+Elastifolw--网络流量监控
suixhxy的博客
05-24 1571
执行命令ip netstream export host ip-address port-number [ vpn-instance vpn-instance-name ],配置IPv4原始流统计信息输出报文的目的NSC。配置第三个输出目的地址时,则需要先使用undo ip netstream export host命令取消原来配置的目的NSC地址。注:没给es添加密码之前,访问地址登录是不需要输入账号密码的,直接能打开地址。否则,系统会提示超出最大的输出地址数,从而无法进行配置。
suricata+elk+kibana+logstash安装手册.docx
08-13
最近因为工作花了两天时间原因搭了一套完整的IPS和IDS,包括suricata、kibana、elk、logstash等内容,中间遇到很多问题,我把整个搭建的过程记录了下来,给搭建分享下经验。大神绕路~
Suricata+ELK 8.4.3(docker)可视化
Purpose_7的博客
10-14 2669
Suricata+ELK 8.4.3(docker)可视化
Suricata+ELK集群监控办公网流量
武天旭的博客
03-25 6431
背景 需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。 准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
suricata + ELK保姆级搭建入侵检测/入侵防御02 --- ELK搭建
m0_49979570的博客
01-24 4752
前言 上篇文章讲到,使用suricata搭建入侵检测/入侵防御的流程,不仅如此,我们希望能够通过一个图形化的方式,来查看当前计算机的网络检测的相关信息。 这篇文章主要介绍使用ELK的方式来搭建日志分析环境,使用Logstash收集对suricata产生的警告消息并存储于Elasticsearch上,由Kibana读取Elasticsearch的数据并进行展示。 环境定义 使用两台机器进行部署,为Ubuntu OS18 第一台IP地址: 192.168.1.2 第二台IP地址: 192.168.1.3 第
suricata + ELK保姆级搭建入侵检测/入侵防御01 --- suricata环境搭建
m0_49979570的博客
01-24 6585
前言 最近在整理网络安全方面的问题,服务器由于是部署在微软云的原因,所以在微软云中了解到了网络监察程序相关的内容,它使用的是suricata + ELK进行网络流量的监察,在查找suricata的过程,我发现国内suricata方面的资源太少,以至于花了一些时间才明白是如何进行搭建的。(其实就是菜 = =|||) 本文章搭建的环境为Ubuntu OS,使用suricata是直接使用apt install方式安装。 由于在微软云上直接看网络监察程序那页实在是没说明白,直接跟着操作会有一些问题存在,所以E
网络入侵检测 Suricata
weixin_30394981的博客
04-02 190
Suricata 是一个网络入侵检测和阻止引擎,由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多线程的,内置 IPv6 的支持,可加载预设规则,支持 Barnyard 和 Barnyard2 工具。 项目地址:http://www.openinfosecfoundation.org/ 转载于:https://www.cnblogs.com/taskiller/archive/20...
CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统
web开发
06-28 449
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言 算了,这部分就省了吧。下面直奔主题。 二、准备工作 CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包: [piaca@piaca ~]$ sudo yum install gcc mak...
Su+ELK实现网络监测(1)——Suricata安装与配置
最新发布
ytraister的博客
04-11 1938
suricata安装配置文档
suricata+elk安装】
天风的人工智能博客
11-22 789
suiricata目录下生成eve.json文件,传入logstash过滤输出,在到elasticsearch检索传入kibana看板。链接:https://pan.baidu.com/s/1DU4guHU2K7NnUJ9vjXKDeA。把两个文件拖到/home目录下(文件名以自己为主,例如suricata-master-6.0.x)填写服务器ip,用户名,远程登录密码,端口不用填,就连接上了。经过我反复测试,安装肯定没问题了,只有你一步步按部就班。输入字母“I”进入编辑模式wq保存。
KTS7:Kibana 7 Suricata IDPS威胁狩猎模板
05-26
Suricata IDPS / NSM威胁搜寻和ELK 7堆栈该存储库为Kibana 7.x和Elasticsearch 7.x提供了28个仪表板,可与Suricata IDS / IPS / NSM一起使用-入侵检测,入侵防御和网络安全监视系统这些仪表板可与Suricata 6+一起...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里的想法是使用由发布的普通docker镜像。 我们使用docker-compose.yml指定磁盘上要映射的位置,例如elasticsearch的数据目录和logstash的配置目录。 将来,升级弹性版本应与设置以下定义的环境变量一样容易。 安装 码头工人 安装 。 下载内容。 在git repo目录中打开命令提示符。 运行以下命令来设置弹性版本环境变量: 设置ELASTIC_VERSION = 6.3.0 设置TAG = 6.3.0 编
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
docker-elk-suricata:针对pfSense和SuricataELK堆栈,针对Synology NAS进行了优化
02-05
docker-elk-suricata:针对pfSense和SuricataELK堆栈,针对Synology NAS进行了优化
求助:基于Suricata的IDSIPS发行版
02-02
Suricata是一款强大的网络入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域被广泛应用。基于Suricata的IDS/IPS发行版通常集成了监控、管理和响应功能,以便于用户保护其网络免受恶意活动的侵害。在Linux...
KTS5:Suricata IDPS的Kibana 5模板
05-16
该存储库为Kibana 5.x和Elasticsearch 5.x提供了13个模板,可与Suricata IDS / IPS-入侵检测和防御系统一起使用。 这些仪表板可与SuricataELK-Elasticsearch,Logstash,Kibana一起使用,包括140多个可视化和11个...
suricata-6.0.1.tar.gz
04-19
Suricata是一款强大的网络安全分析引擎,它主要用于网络入侵检测系统(IDS)和网络入侵防御系统(IPS)。这个压缩包文件“suricata-6.0.1.tar.gz”包含了Suricata的源代码版本6.0.1,适用于对源码进行编译和自定义...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值