suricata-update管理规则

已于 2022-02-17 22:39:34 修改
阅读量3.8k 收藏 2
点赞数 2
分类专栏: suricata 文章标签: 网络安全 suricata
于 2022-01-21 18:00:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/122626609
版权

参考: 7. Rule Management — Suricata 7.0.0-dev documentation

安装PyYAML

用以安装suricata-update

$ cd /tmp/soft

$ wget http://pyyaml.org/download/pyyaml/PyYAML-5.3.1.tar.gz

$ tar -xvf PyYAML-5.3.1.tar.gz

$ cd PyYAML-5.3.1

$ python setup.py install

安装suricata-update

$ pip install --pre --upgrade suricata-update

更新Suricata规则库

$ suricata-update

--no-merge不要将规则合并到单个规则文件中。

发现其他可用的规则库

更新规则源

$ suricata-update update-sources

列出更新源列表

$ suricata-update list-sources

启用et/open的规则集

$ suricata-update enable-source et/open

再次更新我们的规则集

$ suricata-update

列出我们使用的规则源

$ suricata-update list-enabled-sources

et/open 已启用

关闭某个规则源

$ suricata-update disable-source et/pro

删除某个规则源

$ suricata-update remove-source et/pro

suricata-update管理规则,这个在编译服务器中,程序中会默认将多个规则集的每一条都写到/var/lib/suricata/rules/suricata.rules文件中,Suricata-update有个 --no-merge参数,使用这个参数更新规则,规则不会进行合并,是以独立的文件存在于文件夹下。但是在管理规则的时候很不方便,必须要自己管理Suricata引入的规则。

已经将此文件拷贝到了采集服务器中/opt/Suricata/rules中,我们要在suricata的配置文件suricata.yaml中配置suricata的规则指定使用suricata.rules,

也可以自定规则文件,并在suricata.yaml 配置文件中添加自定的规则文件

TIPS更新完规则后,suricata不需要重新启动来载入新的规则,使用命令 ps -ef | grep suricata查看suricata的pid,通过kill命令发送usr2信号来重新加载suricata规则 kill -USR2 pid

 凡是过往,即为序章

杜兰特的小号
关注
专栏目录
IDS入侵检测防御之Suricata(Ubuntu)
afei001
06-18 1784
一、Suricata介绍     Suricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。它是由the Open Information Security Foundation开发,是一款开源的系统。Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。     Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。借助YAML和JSON之类的标准输入和输出格式,以及与现有SI.
suricata-update用于更新和下载suricata规则
allway2的博客
07-09 2862
Suricata-update suricata-update用于更新和下载suricata规则。 更新您的规则 不进行任何配置,suricata-update的默认操作是使用“新兴威胁开放”规则集。 suricata-update 该命令将: 在您的路径中查找suricata程序,以确定其版本。 查找/etc/suricata/enable.conf,/etc/suricata/disable.conf,/etc/suricata/drop.conf,和/etc/suricata/modi.
Suricata工控规则研究_工控 suricate
最新发布
2401_84302816的博客
05-17 364
Suricata其实包含的功能十分丰富,因篇幅有限,我只验证解释了关于Suricata工控方面的使用,Suricata支持内嵌lua脚本,以实现自定义检测和输出脚本,支持常见数据包解码,支持常见应用层协议解码,支持分析离线pcap文件和pcap文件方式存储流量数据,这些好用的功能都需要大家一点点去摸索和拓展使用。Suricata规则这一块,是需要大家一点点去积累完善的,通过平时搜集的威胁情报,结合自己系统的生产环境,及时关注新爆出的安全漏洞等,自己慢慢去增加丰富规则,来使我们的安全世界更加坚固!
suricata-update:更新您的Suricata规则的工具
04-30
Suricata更新 用于更新您的Suricata规则的工具。 安装 点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/suricata/disable.conf /etc/suricata/enable.conf /etc/suricata/drop.conf /etc/suricata/modify.conf 下载找到的Suricata版本的最佳版本的Emerging Threats Open规则集。 从/ etc / suricata / rules中读取Suricata发行版随附的规则文件。 应用禁用,启用,删除和修改过滤器。 解
使用Oinkmaster管理suricata规则
u011311291的博客
08-05 946
下载后解压就可用,功能可以查看README,http://oinkmaster.sourceforge.net/ 基本上的功能 如果本地没有rules,可以在oinkmaster.conf中设置 url = https://rules.emergingthreats.net/open/suricata-3.2/emerging.rules.tar.gz 如果本地有规则rules,不通过网上下载,...
suricata 3.1 源码分析15 (流更新)
superbfly的专栏
09-18 1671
流更新通过FlowWorker线程函数中调用FlowUpdate,FlowUpdate中又调用了FlowHandlePacketUpdate来更新流。 在获取到包所属的流后,接下来将根据这个包对流进行更新。/** \brief Update Packet and Flow * * Updates packet and flow based on the new packet. * *
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1759
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
基于多种流量检测引擎识别pcap数据包中的威胁
村中少年的专栏
04-17 1602
统一suricata,snort,zeek等多种引擎构建本地的数据包威胁识别环境,打造安全分析师的兵器
2020-10-17
nunu__的博客
10-17 443
Suricata学习笔记 1. Suricate用户手册 Suricata 5.0.3 documentation 2. Basic Setup sudo vim /etc/suricata/suricata.yaml HOME_NET 用于配置本地服务器的IP地址(可以是具体的某一个IP地址,也可以是一个网段) rule-path 用户可以自定义suricata将要使用的规则 通常我会把自己写的规则放在:/etc/suricata/rules/myrule/xxx.rules fast.lo
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6801
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
使用Suricata和ELK进行网络入侵检测
热门推荐
xiaomaiaidandan的博客
07-24 1万+
数据包捕获是实现网络入侵检测系统(IDS)和执行网络安全监控(NSM)的关键组件。 有几种开源IDS工具可以处理数据包捕获并查找可能的网络入侵和恶意活动的签名。  其中一个开源工具是Suricata,这是一种IDS引擎,它使用规则集来监控网络流量,并在发生可疑事件时触发警报。 Suricata提供多线程引擎,这意味着它可以以更快的速度和效率执行网络流量分析。 有关Suricata及其功能的更多详...
[渗透教程]-025-Suricata多线程入侵检测系统
学-> 思->用
03-06 243
Suricata 是由 OISF(开发信息安全基金会)开发,它也是基于签名,但是集成了创新的技术。该引擎嵌入了一个 HTTP 规范化器和分析器(HTP 库),可提供非常先进的 HTTP 流处理,从而能够在 OSI 模型的第七层(应用层)上解析流量。Suircata 是一款支持 IDS 和 IPS 的多线程入侵检测系统,与传统 Snort 相比,Suircata 的多线程和模块化设计上使其在效率和性能上超过了原有 Snort,它将 CPU 密集型的深度包检测工作并行地分配给多个并发任务来完成。
Suricata下载 安装 及 运行
细雨青峦的博客
05-10 5116
Suricata 的下载,安装,基本使用,从头开始配置,运行 系统环境:Ubuntu18.04.6 live suricata 版本:suricata-6.0.4
Suricata详解
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6580
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4937
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
Emerging Threats rules suricata规则功能介绍
村中少年的专栏
12-03 4274
介绍Emerging Threats rules 规则集中针对suricata所提供规则功能介绍
suricata中command的实现分析和自定义命令方法
每天分享一个编程小知识
05-20 407
1)注册命令:在UnixManagerThreadSpawnNonRunmode函数中注册命令"just-test": UnixManagerRegisterCommand("just-test", Justtest, NULL, 0);SCEnter();int i = 0;
CMake Error at data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt:347 (add_library): add_library cannot create target "nanomsg" because another target with the same name already exists. The existing target is a shared library created in source directory "/home/wzw/gy_tsource_zw/data-plane/suricata-3.0/src". See documentation for policy CMP0002 for more details.
06-08
这个错误提示说明在你的项目中已经有一个叫做"nanomsg"的目标存在了,而你又在data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中尝试创建一个同名的目标。因此,CMake无法创建这个目标并报错了。 为了解决这个问题,你可以采取以下两种方法: 1. 修改data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中的目标名称,使用一个不同的名称,如"nanomsg_lib",这样就不会与已有的目标冲突了。 2. 如果你想使用已有的"nanomsg"目标,可以在data-plane/suricata-3.0/nanomsg/src/CMakeLists.txt文件中使用add_library命令的IMPORTED选项,将已有的"nanomsg"目标导入到当前项目中,如下所示: ``` add_library(nanomsg IMPORTED) set_target_properties(nanomsg PROPERTIES IMPORTED_LOCATION /path/to/nanomsg/libnanomsg.so) ``` 这里假设你已经知道了已有的"nanomsg"目标的安装路径,并将其设置为IMPORTED_LOCATION属性的值。这样,CMake就会将已有的"nanomsg"目标导入到当前项目中,并且不会再创建一个同名的目标了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值