suricata-手册_suricata官方文档资源-CSDN文库

suricata

需积分: 50 165 浏览量 2018-11-29 23:59:36 上传评论 2 收藏 3.06MB PDF 举报

资源推荐

资源详情

资源评论

Suricata User Guide

Release 4.1.0-dev

OISF

Nov 06, 2018

Contents

1 What is Suricata 1

1.1 About the Open Information Security Foundation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2 Installation 3

2.1 Source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.2 Binary packages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.3 Advanced Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Command Line Options 7

3.1 Unit Tests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

4 Suricata Rules 11

4.1 Rules Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4.2 Meta Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.3 IP Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.4 TCP keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.5 ICMP keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4.6 Payload Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.7 Transformations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.8 Preﬁltering Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.9 Flow Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4.10 Bypass Keyword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

4.11 HTTP Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

4.12 File Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

4.13 DNS Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

4.14 SSL/TLS Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

4.15 SSH Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4.16 JA3 Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

4.17 Modbus Keyword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

4.18 DNP3 Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

4.19 ENIP/CIP Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

4.20 FTP/FTP-DATA Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.21 Kerberos Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.22 Generic App Layer Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

4.23 Xbits Keyword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

4.24 Thresholding Keywords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

4.25 IP Reputation Keyword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4.26 Lua Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4.27 Differences From Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

5 Rule Management 109

5.1 Rule Management with Suricata-Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

5.2 Rule Management with Oinkmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

5.3 Adding Your Own Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

5.4 Rule Reloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

6 Making sense out of Alerts 117

7 Performance 119

7.1 Runmodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

7.2 Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

7.3 Tuning Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

7.4 Hyperscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

7.5 High Performance Conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

7.6 Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

7.7 Ignoring Trafﬁc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

7.8 Packet Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

7.9 Rule Proﬁling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

7.10 Tcmalloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

8 Conﬁguration 135

8.1 Suricata.yaml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

8.2 Global-Thresholds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

8.3 Snort.conf to Suricata.yaml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

8.4 Multi Tenancy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

8.5 Dropping Privileges After Startup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

9 Reputation 193

9.1 IP Reputation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

10 Init Scripts 197

11 Setting up IPS/inline for Linux 199

11.1 Iptables conﬁguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

12 Setting up IPS/inline for Windows 203

13 Output 205

13.1 EVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

13.2 Lua Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

13.3 Syslog Alerting Compatibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

13.4 Custom http logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

13.5 Custom tls logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

13.6 Log Rotation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

14 Lua support 235

14.1 Lua usage in Suricata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

14.2 Lua functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

15 File Extraction 249

15.1 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

15.2 Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

15.3 Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

剩余301页未读，继续阅读

评论收藏

内容反馈

qq_25981363

粉丝: 0
资源: 4

suricata-手册

Suricata用户手册 V4.0.0

Suricata-开源

suricata_open

suricata:suricata原始码分析和读书笔记

suricata-rules:Suricata针对新的严重漏洞制定规则

suricata规则：Suricata IDS规则使用检测红队渗透恶意行为等，支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎反弹shellICMP隧道等

DPDK_Suricata_4.1.rar

snort v.s. suricata规则对比

suricata 6.0.4使用手册

suricata+elk+kibana+logstash安装手册.docx

suricata.yaml

suricata elk kibana logstash安装手册.rar

suricata-configuration:Suricata 概述和设置说明

suricata-6.0.1.tar.gz

DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器

Intel_DPDK_DeepDive

suricata-2.0.8.tar.gz

etupdate:更新Suricata的“新兴威胁”开放规则集

docker-suricata:Suricata Docker映像

suricata-5.0.3源码包

vagrant_moloch_bro_suricata:流浪多机

docker-suricata:使用Docker在容器内的Suricata

suricata-update:更新您的Suricata规则的工具

rock-suricata:用于suricata签名和签名部署工作流的回购

suricata-1.1beta3.tar.gz

suricata-readthedocs-io-en-latest.pdf

fiddler中文免安装版

KepOPC工业互联网数据交换平台V2.4.9

最新资源

DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。目前正在研究RX和ACL预过滤器