Suricata est un moteur de surveillance de la sécurité réseau, d’IDS (système de détection d’intrusion) et d’IPS (système de prévention d’intrusion) à haute performance.
Il est open source et géré par une fondation à but non lucratif, l’Open Information Security Foundation (OISF)
Pour l’installer sur Ubuntu, utilisez le PPA officiel pour installer Suricata.
Configurez Suricata en modifiant le fichier `/etc/suricata/suricata.yaml`.
Cela comprend la définition de l’interface réseau sur laquelle Suricata doit écouter et la configuration de la variable `HOME_NET`, qui représente les adresses IP du réseau local à surveiller
Suricata utilise des règles pour identifier les activités suspectes ou malveillantes sur le réseau.
Ces règles sont appelées signatures.
Utilisez `suricata-update` pour télécharger et mettre à jour les règles.
Par défaut, cela récupère le jeu de règles ET Open.
Les règles sont stockées dans `/var/lib/suricata/rules` et utilisées par Suricata pour analyser le trafic réseau.
Suricata inspecte les paquets réseau sur l’interface configurée, en utilisant les règles installées pour détecter les activités suspectes.
Lorsqu’une activité correspond à une règle, Suricata déclenche une alerte.
Ces alertes peuvent être consultées dans les logs de Suricata, tels que `/var/log/suricata/fast.log`.
Pour tester la fonctionnalité IDS, vous pouvez utiliser une règle spécifique et déclencher une alerte pour confirmer que Suricata fonctionne correctement.
Suricata surveille le trafic réseau en temps réel, en utilisant un ensemble de règles définies pour détecter des comportements suspects ou malveillants.
Il peut fonctionner en tant qu’IDS, détectant les intrusions, ou en tant qu’IPS, bloquant activement les menaces.
Plus d’info sur suricata.io et sur https://lnkd.in/eKNuFR-m
Épisode nolimitsecu sur le sujet : https://lnkd.in/e_HxAkrY
Présentation SSTIC 2023 attaques de type Supply Chain sur Suricata : https://lnkd.in/eviUbT86