本文介绍了如何结合Suricata、Elastic Stack和Network Watcher进行网络入侵检测。Suricata作为IDS引擎,通过规则集监控网络流量并触发警报。通过Elastic Stack和Kibana,可以将Suricata的日志编制索引并创建可视化仪表板,便于分析网络漏洞。详细步骤包括安装Suricata、Elasticsearch、Logstash和Kibana,以及导入和配置Kibana看板以展示警报信息。
数据包捕获是实现网络入侵检测系统(IDS)和执行网络安全监控(NSM)的关键组件。 有几种开源IDS工具可以处理数据包捕获并查找可能的网络入侵和恶意活动的签名。
其中一个开源工具是Suricata,这是一种IDS引擎,它使用规则集来监控网络流量,并在发生可疑事件时触发警报。 Suricata提供多线程引擎,这意味着它可以以更快的速度和效率执行网络流量分析。 有关Suricata及其功能的更多详细信息,请访问其网站https://suricata-ids.org/。
本文介绍如何使用Network Watcher,Suricata和Elastic Stack设置环境以执行网络入侵检测。 Network Watcher为您提供用于执行网络入侵检测的数据包捕获。 Suricata根据与其给定的威胁规则集匹配的数据包处理数据包捕获并触发警报。 这些警报存储在本地计算机上的日志文件中。 使用Elastic Stack,Suricata生成的日志可以编制索引并用于创建Kibana仪表板,为您提供日志的可视化表示,以及快速获取潜在网络漏洞洞察力的方法。
步骤:
1. 安装Suricata
具体安装过程可参考官方文档 http://suricata.readthedocs.io/en/latest/install.html
在Ubuntu系统上,可以通过以下命令进行安装
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata
可通过以下命令行检验安装是否完成
suricata -h
在这个阶段,我们没有Suricata运行的任何规则。 如果您希望检测到特定的网络威胁,则可以创建自己的规则,也可以使用来自许多提供程序的开发规则集,例如Emerging Threats或Snort的VRT规则。 我们在此处使用可自由访问的Emerging Threats规则集:
wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz
sudo cp -r rules /etc/suricata/
2. 安装Elasticsearch
虽然Suricata生成的日志包含有关我们网络上发生的事情的有价值信息,但这些日志文件并不是最容易阅读和理解的。 通过将Suricata与Elastic Stack连接起来,我们可以创建一个Kibana仪表板,使我们能够从日志中搜索,绘图,分析和获取洞察。
版本5.0及更高版本的Elastic Stack需要Java 8.运行命令java -version来检查您的版本。 如果您没有安装java,请参阅Oracle网站上的文档
在ubuntu系统上,可以通过以下命令安装
curl -L -O https://a
最低0.47元/天 解锁文章
扫一扫
6126
到【灌水乐园】发言
