美文网首页
suricata 规则管理

suricata 规则管理

作者: lx_jian | 来源:发表于2019-07-04 21:36 被阅读0次

    1.Suricata-Update

    1.1.使用Suricata-Update进行规则管理

    suricata-update与Suricata 4.1及更高版本捆绑在一起。它也可以与旧版本一起使用。在这种情况下,必须单独安装。

    要下载Emerging Threats Open规则集,只需运行即可:

    sudo  suricata-update

    这会将规则集下载到  /var/lib/suricata/rules/

    Suricata的配置必须更新为具有如下规则配置:

    default-rule-path:/var/lib/suricata/rules

    rule-files:

            -suricata.rules

    1.2.更新规则

            sudo  suricata-update

    1.3.使用其他规则集

    Suricata-Update还可以访问其他规则集,要查看可用内容,请从OISF主机获取主索引:

    sudo  suricata-update   update-sources

    然后看一下可用内容;

    sudo  suricata-update   list-sources

    每个规则集都有一个名称,该名称具有“供应商”前缀,后跟一个集名称。例如,OISF的流量ID规则集称为“oisf / trafficid”。

    要启用“oisf / trafficid”,请输入:

    sudo   suricata-update  enable-sourceoisf/trafficid

    sudo   suricata-update

    现在再次重新启动Suricata,并加载OISF TrafficID规则集中的规则。

    要查看当前处于活动状态的规则集,请使用“list-enabled-sources”

    1.4.控制使用哪些规则

    默认情况下,suricata-update会将所有规则合并到一个文件“/var/lib/suricata/rules/suricata.rules”中。要启用默认禁用的规则,请使用'/etc/suricata/enable.conf':

    同样,要禁用规则,请使用/etc/suricata/disable.conf,

    更新这些文件后,再次重新运行suricata-update:

    2.Oinkmaster

    2.1 使用Oinkmaster进行规则管理

    要安装Oinkmaster,请输入:

    sudo yum  install oinkmaster

    有几个规则集。例如,Emerging Threats(ET)Emerging Threats Pro和VRT。在这个例子中,我们使用的是Emerging Threats。Oinkmaster必须知道规则的位置。这些规则可在以下位置找到:https://rules.emergingthreats.net/open/suricata-3.2/emerging.rules.tar.gz

    打开oinkmaster.conf,输入以下命令添加此链接:

    sudo nano  /etc/oinkmaster.conf

    下一步是为新规则创建目录。输入:

    sudo mkdir  /etc/suricata/rules

    下一步输入:

    cd    /etc

    sudo   oinkmaster  -C   /etc/oinkmaster.conf   -o   /etc/suricata/rules

    在新规则目录中,可以找到classification.config和reference.config。必须在suricata.yaml文件中添加两者的目录。输入以下内容

    sudo nano  /etc/suricata/suricata.yaml

    并添加新文件位置而不是已存在的文件位置,要查看一切是否满意,请运行Suricata:

    suricata -c /etc/suricata/suricata.yaml  -i  wlan0(or eth0)

    您会注意到有几个规则文件Suricata尝试加载,但不可用。可以通过删除它们或在它们前面放一个#来禁用suricata.yaml中的那些规则集。要停止Suricata运行,请按ctrl c。新兴威胁包含的规则多于Suricata中加载的规则。要查看规则目录中可用的规则,请输入:

    ls   /etc/suricata/rules/*.rules 

    查找尚未出现在suricata.yaml中的那些,并根据需要将其添加到yaml中,您可以输入以下内容:

    sudo nano /etc/suricata/suricata.yaml

    如果您通过在其前面放置一个#来禁用规则文件中的规则,则下次运行Oinkmaster时将再次启用该规则。您可以通过输入以下内容通过Oinkmaster禁用它:

    cd   /etc/suricata/rules

    并找到要禁用的规则的sid。

    随后输入:

    sudo  nano  /etc/oinkmaster.conf

    并一直到文件的末尾。输入:

    disablesid   2010495

    而不是2010495,键入要禁用的规则的sid。也可以通过输入以逗号分隔的sid来禁用多个规则。

    如果再次运行Oinkmaster,您可以看到已禁用的规则数量。您还可以启用默认禁用的规则。输入以下内容:

    ls   /etc/suricata/rules

    在此目录中,您可以看到几个规则集Enter,例如:

    sudo  nano   /etc/suricata/rules/emerging-malware.rules

    在此文件中,您可以查看哪些规则已启用而哪些规则未启用。只需删除#,就无法长期启用它们。因为每次运行Oinkmaster时,规则将再次被禁用。相反,请查找要启用的规则的sid。将sid放在oinkmaster.config的正确位置:

    sudo  nano   /etc/oinkmaster.conf

    输入以下命令:

    enablesid: 2010495

    而不是2010495,键入要启用的规则的sid。通过输入用逗号分隔的sid,也可以启用多个规则。

    在oinkmaster.conf中,您可以修改规则。例如,如果您将Suricata用作内联/ IPS并且您希望修改在匹配时发送警报的规则,并且您希望规则丢弃数据包,则可以通过输入以下内容来执行此操作:

    sudo  nano  oinkmaster.conf

    在可以修改规则的部分,键入:

    modifysid 2010495 “alert” | “drop”

    sid 2010495就是一个例子。请改为输入您想要更改的规则的sid。

    重新运行Oinkmaster以注意到这一变化。

    2.2 更新规则

    如果您已经下载了规则集(按照此文件中描述的方式),并且您想要更新规则,请输入:sudooinkmaster-C/etc/oinkmaster.conf-o/etc/suricata/rules

    3.添加自己的规则

    开始为您的规则创建文件。在控制台中键入以下内容:

    sudo nano  local.rules

    打开yaml

    sudo nano   /etc/suricata/suricata.yaml并确保将local.rules文件添加到规则列表中。

    现在,运行Suricata并查看是否正在加载规则。

    suricata -c  /etc/suricata/suricata.yaml -i  wlan0

    如果您的规则无法加载,请检查您是否在规则中的任何位置出错。记住细节; 寻找特殊字符,空格,大写字符等的错误

    接下来,检查您的日志文件是否已在suricata.yaml中启用。

    如果您必须更正规则和/或修改yaml,则必须重新启动Suricata。

    如果您看到规则已成功加载,则可以通过执行应触发规则的操作来仔细检查规则。

    输入:

    tail   -f    /var/log/suricata/fast.log

    如果你要制定这样的规则:

    alert  http  any  any->any  any(msg:"Do not read gossip during work";content:"Scarlett";nocase;classtype:policy-violation;sid:1;rev:1;)

    您的提醒应如下所示:

    05/1/2019-16:50:27.725288[**][1:1:1]Donotreadgossipduringwork[**][Classification:PotentialCorporatePrivacyViolation][Priority:1]{TCP}192.168.0.32:55604->68.67.185.210:80

    4.规则重载

    可以告诉Suricata重新加载它的规则而不重新启动,这可以通过向Suricata发送信号或使用unix套接字来实现。当Suricata被告知重新加载规则时,这些是基本步骤:

    加载新配置、加载新规则、构建新的检测引擎、交换旧的和新的检测引擎、确保所有线程都已更新、免费旧检测引擎。

    Suricata将在此过程中继续正常处理数据包。但请记住,系统应该有足够的内存用于两个检测引擎。

    信号:

    kill -USR2 $(pidof suricata)

    Unix套接字有两种规则重载方法:

    阻塞重新加载:

    suricatasc -c  reload-rules

    非阻塞重载:

    suricatasc -c  ruleset-reload-nonblocking

    相关文章

      网友评论

          本文标题:suricata 规则管理

          本文链接:https://www.haomeiwen.com/subject/ooejnqtx.html