问题标签 [suricata]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 如何在 suricata.yml 的 HOME_NET 中定义几个地址?
我正在尝试在我的网络中配置 suricata。当我将其中之一设置HOME_NET
为/etc/suricata/suricata.yml
:
一切正常。但是,当我尝试将多个地址池定义为:
我无法观察到任何事件/var/log/suricata/log.fast
。
如何正确定义HOME_NET
变量中的几个网络?
suricata - 有没有网站可以搜索关于 suricata 规则的描述?
我想找到一些关于 suricata 规则的描述。
例如,规则名称:ET ATTACK_RESPONSE Cisco TclShell TFTP 读取请求
规则信息:内容:“|00 01 74 63 6C 73 68 2E 74 63 6C|”;
SID: 2009244, ... 其他。
我想知道规则的详细功能。
我找到了一些网站,但没有描述(如https://doc.emergingthreats.net/2009244)。
有什么值得称道的搜索规则描述的网站吗?
谢谢。
networking - Snort / Suricata 网络拓扑 - 这可以接受吗?
我经营着一个大约 500 兆位互联网连接的小型企业网络,并想引入 NIPS(网络入侵防御系统)。我已将 SNORT 或 SURICATA 确定为首选软件(也许还有我不太了解的 Zeek)。也许与 PFSense 等有关。待定。
Wifi 在业务中被大量使用,标准的 Windows LAN-cable PC 也是如此。目前我们的基本路由器/调制解调器处理一切。
当前网络拓扑:
我想在 Internet 路由器之前为这个 SNORT/SURICATA 盒子插入一个带有 2 或 4 个内核 + 4GB 内存的基本 Linux 盒子和一个基本的 1gbps 网卡。
我想确认以下是引入 NIPS 的好方法:
所需的网络拓扑:
问题:此设置是否允许 SNORT/SURICATA 框(给定默认设置/未启用任何花哨):
- 跟踪 WAN 流量的 LAN 源 IP 地址,包括传出和传入。即“本地计算机 LAN IP 和远程 IP”之间的 Torrent 连接 -,而不是“路由器 IP 和远程 IP”
- 能够登录到 SNORT/SURICATA 框(没有子网疯狂 - 至少不是超级难解决的问题)
- 这里有什么陷阱吗?
请注意,这适用于拥有 20 名员工而不是 300 名等的小型企业。在这种规模下,遵循所有最佳实践是不切实际的。
我不热衷于在所说的 Linux 机器上添加 WIFI 网卡。原因是,在危机中,我希望能够拔下 snort 盒子并将两个路由器连接在一起,并立即为办公室提供 Internet,以防盒子因任何原因(糟糕的 snort 规则、硬盘驱动器死机等)出现故障. 此外,路由器/调制解调器需要点击才能获得连接 - 我不需要加载 Putty,如果我不在的话,其他任何人都很难处理。
谢谢您的帮助!
apache-kafka - Suricata 到 Filebeat 到 Kafka,按事件类型路由到主题
几天前我发现了 Filebeat。如果我在 filebeat.yml 中硬编码主题名称,我让它直接向 Kafka 发送数据。但我似乎无法弄清楚如何根据 suricata 事件类型动态计算主题名称。我启用了 filebeat suricata 模块,并在 filebeat.yml 主题值中尝试了很多东西,例如:
但我总是在日志中收到此错误:
你怎么做呢?围绕该路由的任何示例 filebeat.yml 文件到基于 suricata 事件类型的不同主题?
apache-kafka - 如何将 Suricata 日志发送到 Kafka?
根据文档https://suricata.readthedocs.io/安装和配置 Suricata 5.0.2 后。
我尝试通过添加以下内容来更改 suricata.yaml 中的一些配置:
接下来我运行 Suricata,并收到错误 Invalid entry for alert-json-log.filetype。预期为“常规”(默认)、“unix_stream”、“pcie”或“unix_dgram”
我不知道在 Suricata 上进行配置以启用将日志发送到 Kafka 主题。请帮忙。
docker - 无法在 docker 上连接本地主机 Evebox
我使用 docker-compose 启动 Evebox,但无法在 localhost:5636 上连接它。
我的 docker-compose 文件的一部分:
我无法在 localhost:5636 上连接 Evebox,但是当我用于docker exec -it 2c50f02b7385 /bin/sh
进入 docker 容器时可以连接它。
我该如何解决?
apache-kafka - 将 Pcap 从 Suricata 发送到 Kafka
我配置了 suricata.yaml 来获取 pcap 输出,我需要将它发送到 Kafka。在 suricata 文档中,没有关于发送到 kafka 的配置。如何将 pcap 输出直接发送到 kafka?kafka 可以听 suricata 输出吗?还是我必须在它们之间使用其他工具?
谢谢。
malware - 如何在 PCAP 模式下运行 Suricata 并在 fast.log 中获得结果
我试图让 suricata 在 fast.log 文件中的 pcap 上发出警报,而不是像文档中所说的那样在网络接口上发出警报,但我无法在 fast.log 中获得任何输出。
我的设置
- 泊坞窗图像 ubuntu:最新
- 苏里卡塔 5.0.2
- 在默认位置使用默认 suricata.yaml
/etc/suricata/suricata.yaml
- 使用默认规则集
我期望发生的事情
当我在离线模式下运行 suricata 时,它使用包含恶意流量的 pcap,我应该在 fast.log 中看到输出。
我跑:
并得到:
但 fast.log 中没有输出
然而
当我在常规模式下运行 suricata 并使用相同界面的 tcpreplay 重播 pcap 时,我收到 316 个警报。
这个 316 与上面发布的离线模式输出中的一行相同,但我在 fast.log 中看不到任何内容。
这是怎么回事?
dpdk - 当我运行基于 suricata 的 dpdk 时,端口总是返回 0
我已经成功安装了DPDK-19.11.1 LTS,如下:</p>
而我绑定的网卡如下:
如果我运行一个示例 ( dpdk/dpdk-stable-19.11.3/examples/skeleton/build/basicfwd
),该函数rte_eth_dev_count_avail()
返回我绑定的端口dpdk-devbind.py
。
我也在 Ubuntu 16.04 LTS 上安装了Suricata-4.1.4,但是当我运行 suricata 时,dpdk 端口总是返回 0:
所以我想知道我该如何解决这个问题?
suricata - suricata url_decode 和 base64_decode
在 Suricata 6.0.0 beta 1 中,我注意到添加了 url_decode 规则关键字。为什么在转换中支持 url_decode 而 base64_decode 以另一种方式实现?比如需要base64_decode和base64_data结合来告警?像 url_decode 一样在转换中设计 base64_decode似乎更合理。