Suricata Nedir? Kurulumu Nasıl Yapılır?

0
38
Suricata Nedir Kurulumu Nasıl Yapılır
Suricata Nedir Kurulumu Nasıl Yapılır

Suricata, açık kaynak tabanlı bir saldırı tespit sistemi (IDS) ve saldırı önleme sistemidir (IPS).

IDS ve IPS hakkında yazımıza buradan ulaşabilirsiniz.

Suricata Özellikeri Nedir?

  • Çoklu iş parçacığı
  • Otomatik protokol algılama
  • Gzip açma
  • Standart giriş yöntemleri
  • Unified2 çıktı
  • Akış değişkenleri
  • Hızlı IP eşleştirme
  • HTTP günlük modülü
  • JSON standart çıktıları
  • Windows ikili dosyaları
  • Lua[1] komut dosyası
  • Prelude[2] çıkışı
  • dosya eşleştirme, günlük kaydı, ayıklama, md5 sağlama toplamı hesaplaması
  • DNS kaydedici

Suricata Kurulumu

Kurulumu ubuntu server üzerinde yapıyorum.

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata jq

PPA[3] deposu eklendi ve güncelleme yapıldıktan sonra kurulumu yaptık.

sudo suricata -v

komutu ile hangi sürümün kurulduğunu bakabilirsiniz.

Şimdi ise genel ayarları yapacağız.

sudo vim /etc/suricata/suricata.yaml

Komutu ile düzenlemeler yapacağımız dosyayı açalım ve aşağıdaki değişkenleri kendi ağımıza göre düzenleyelim.

HOME_NET "[192.168.0.0/16]"
HTTP_SERVERS "[192.168.10.10,192.168.10.11]"
SQL_SERVERS "[192.168.10.20,192.168.10.21]"

interface bölümlerini dinlemek istediğiniz bölüm ile değiştirin, örnek:

af-packet:
 - interface: ens33
pcap:
 - interface: ens33
netmap:
 - interface: ens33
pfring:
 - interface: ens33
Suricata interface

Şimdi ise suricatanın olmazsa olmaz imza/kurallarını güncelleyelim.

sudo suricata-update

ve sonunda suricatayı çalıştıralım.

suricata -c /usr/local/etc/suricata/suricata.yaml -i ens33 --init-errors-fatal
suricata çalıştırma

Suricata’ya ait tüm log dosyalarına aşağıdaki dizinden ulaşılabilirsiniz.

/var/log/suricata/

Oluşan alarmlar eve.json dosyasından takip edilebilirsiniz.

Kelimeler

Lua [1]: Lua, güçlü, verimli ve gömülü sistemlerde çalışabilen bir betik dildir.

Prelude [2]: Prelude SIEM bir Güvenlik bilgisi ve olay yönetimidir. BT güvenliğini artırmak için bir araçtır. Prelude SIEM, şirketin BT güvenliği ile ilgili bilgileri toplar ve merkezileştirir.

PPA [3]: PPA (İng. Personal Package Archive); Ubuntunun resmi paket arşivi depoları haricinde yani kişisel paket arşivlerine verilen ad.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz