Suricata, açık kaynak tabanlı bir saldırı tespit sistemi (IDS) ve saldırı önleme sistemidir (IPS).
IDS ve IPS hakkında yazımıza buradan ulaşabilirsiniz.
Suricata Özellikeri Nedir?
- Çoklu iş parçacığı
- Otomatik protokol algılama
- Gzip açma
- Standart giriş yöntemleri
- Unified2 çıktı
- Akış değişkenleri
- Hızlı IP eşleştirme
- HTTP günlük modülü
- JSON standart çıktıları
- Windows ikili dosyaları
- Lua[1] komut dosyası
- Prelude[2] çıkışı
- dosya eşleştirme, günlük kaydı, ayıklama, md5 sağlama toplamı hesaplaması
- DNS kaydedici
Suricata Kurulumu
Kurulumu ubuntu server üzerinde yapıyorum.
PPA[3] deposu eklendi ve güncelleme yapıldıktan sonra kurulumu yaptık.
komutu ile hangi sürümün kurulduğunu bakabilirsiniz.
Şimdi ise genel ayarları yapacağız.
Komutu ile düzenlemeler yapacağımız dosyayı açalım ve aşağıdaki değişkenleri kendi ağımıza göre düzenleyelim.
HOME_NET "[192.168.0.0/16]" HTTP_SERVERS "[192.168.10.10,192.168.10.11]" SQL_SERVERS "[192.168.10.20,192.168.10.21]"
interface bölümlerini dinlemek istediğiniz bölüm ile değiştirin, örnek:
af-packet: - interface: ens33 pcap: - interface: ens33 netmap: - interface: ens33 pfring: - interface: ens33
Şimdi ise suricatanın olmazsa olmaz imza/kurallarını güncelleyelim.
ve sonunda suricatayı çalıştıralım.
Suricata’ya ait tüm log dosyalarına aşağıdaki dizinden ulaşılabilirsiniz.
/var/log/suricata/
Oluşan alarmlar eve.json dosyasından takip edilebilirsiniz.
Kelimeler
Lua [1]: Lua, güçlü, verimli ve gömülü sistemlerde çalışabilen bir betik dildir.
Prelude [2]: Prelude SIEM bir Güvenlik bilgisi ve olay yönetimidir. BT güvenliğini artırmak için bir araçtır. Prelude SIEM, şirketin BT güvenliği ile ilgili bilgileri toplar ve merkezileştirir.
PPA [3]: PPA (İng. Personal Package Archive); Ubuntunun resmi paket arşivi depoları haricinde yani kişisel paket arşivlerine verilen ad.