suricata关键配置项说明

suricata配置说明

0x01 配置文件及日志输出简要介绍

suricata有两个重要输入和输出文件夹，输入文件夹是配置文件夹，输出文件夹时日志文件夹。

配置文件夹的默认位置是在：/etc/suricata/，文件夹大致的结构为

$ tree -L 1
.
├── classification.config
├── classification.config.dpkg-old
├── reference.config
├── rules
├── suricata.yaml
└── threshold.config

需要重点关注的是suricata.yaml文件和rules文件夹

suricata.yaml文件是对于suricata的软件配置。

rules文件夹中存放了相关的检测规则，如果在suricata运行过程中有数据包分析触发了检测规则，则会以日志的形式输出。

0x02 进行配置

通过修改suricata.yaml文件对软件进行配置，大致的流程如下：

1. 选择suricata守护的网段或IP
2. 配置日志输出器
3. 选择检测规则
4. 测试规则文件

具体的流程如下：

1 选择suricata守护的网段或IP

suricat可以对单个IP、IP集合、单个网段、多个网段进行守护。

可以在suricata安装的系统中使用命令ifconfig或者ip addr查看网段的具体信息

在/etc/suricata/suricata.yaml文件中搜索关键字HOME_NET:，进行配置。

HOME_NET:"[192.168.1.0/24]"	# 守护单个网段

如果需要守护特定的IP，例如192.168.1.2，则对HOME_NET进行如下配置

HOME_NET:"[192.168.1.2]"	# 守护单个IP

如果需要守护特定的多个IP，例如192.168.1.2和192.168.1.3，则可以对HOME_NET做出下面的配置

HOME_NET:"[192.168.1.2,192.168.1.3]"	# 守护多个IP

2 配置日志输出器

日志文件夹默认是/var/log/suricata，也可以配置更改，在配置文件/etc/suricata/suricata.yaml中搜索default-log-dir，进行配置输出日志文件夹

default-log-dir: /var/log/suricata

1. 配置简单输出fast.log

   简略的输出，将suricata的报警输出进行简单的汇总，不是具体信息

   outputs:
     # a line based alerts log similar to Snort's fast.log
     - fast:
         enabled: yes
         filename: fast.log
         append: yes
         # filetype: regular # 'regular', 'unix_stream' or 'unix_dgram'
   

2. 配置警告输出

   警告输出可以说是最为重要的，只要触发了规则，就会输出警告。输出是以输出器为单位进行输出的，可以配置多个输出器，也可以自定义输出器要输出的内容、文件格式等等

   如果说output字段是总的控制输出，那么他的下级就是一个个的输出器，如下，一共配置了三个输出器，fast、eve-log

   outputs:
     - fast:
         enabled: yes
         filename: fast.log
         append: yes
         filetype: regular 
         
     - eve-log:
         enabled: yes
         filetype: regular
         filename: alert.json
         types:
           - alert
   

   • fast输出器是所有触发事件的简要概括
   • eve-log是alert告警输出，只要入侵行为触发了预定的规则，则将日志输出

3. 规则配置

   规则通常是采用开源的一些规则文件，也兼容snort的规则，也可以自己编写规则

   default-rule-path: /etc/suricata/rules
   rule-files:
   - local.rules
   - files.rules
   

​ 规则文件存放在/etc/suricata/rules里面，是后缀为.rules的文件

​ 如果要让suricata启动某个规则，在配置中启动文件就可以了

0x03 测试配置文件

类似于snort，suricata在配置完后，最好也先测试一下配置文件

sudo suricata -T -c /etc/suricata/suricata.yaml