suricata 설치 및 실행

Suricata는 오픈 소스 IDS로, snort를 발전시킨 만큼 snort 룰이 호환되어 사용 가능함

 

1. suricata 설치

sudo apt update
sudo apt install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata

 

2. suricata 기본 룰 셋 다운로드

sudo suricata-update //error 발생 시 한번 더 다운로드 진행
sudo systemctl restart suricata

rule set의 위치: 공격자들이 사용하는 공겨의 유형을 모아놓은 것

*Rule set: /etc/suricata/rules

3. 규칙 예제

alert ssh any any -> any any (msf: "suricata"; flow:established; content: "sites.com"; sid-1001; rev:1; )

alert: 경고를 보냄

any any: 출발지 IP, 출발지 Port

msg: 관리자에게 알려주는 내용으로 alert 창에 " "의 내용이 보여짐

 

file extension(파일 확장자)

file magic (4byte): 파일의 맨 앞부분에 있는 4byte 부분으로 파일의 정체성을 나타냄

= magic number라고도 부름

 

rev: revision 번호, 변경 시 이 번호를 바꾸면 됨

 

4. suricata 실행하기

sudo suricata -c /etc/suricata/suricata.yaml -i ens33

 

5. 로그 확인하기

sudo tail -f /var/log/suricata/fast.log //로그를 실시간으로 확인하기

sudo tail /var/log/suricata/fast.log

sudo tail /var/log/suricata/fast.log | awk '{print "1.[destination ip:port]= " $23 "\n2.[source ip:port]= " $25}'

sudo tail /var/log/suricata/fast.log | awk -F"]" '{print $6}' | uniq -c | sort -rn

-F"]" 는 필드 구분 문자 지정.

01/27/2023-04:48:37.912775  [**(1)] [1:2013504:6(2)] ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management [**(3)] [Classification: Not Suspicious Traffic(4)] [Priority: 3(5)] {TCP} 192.168.52.134:56874 -> 91.189.91.39:80(6)

 

$1

$2

$3

$4

$5

$6

Tip)! vi 편집기에서 라인 번호 설정하기