Suricata, creando el SOC corporativo con Open Source

Suricata
Suricata

Suricata es un motor de detección de amenazas de red, maduro, rápido y robusto, de código abierto y gratuito.

El motor Suricata es capaz de brindar la detección de intrusos en tiempo real (IDS), generar la prevención sustentable de intrusiones en línea (IPS), supervisar la seguridad de red (NSM) y procesamiento offline de pcap.

Suricata inspecciona el tráfico de la red utilizando una potente y extensa normativa como también un lenguaje de firma, y cuenta con un potente soporte de secuencias de comandos Lua para la detección de amenazas complejas.

Con formatos de entrada y salida estándar como YAML y JSON se integra de manera simple y dinámica con herramientas de SIEMs existentes, Splunk, Logstash / Elasticsearch, Kibana y otras bases de datos que generan resultados sin esfuerzos.

El desarrollo impulsado por la comunidad de Suricata se centra en seguridad, usabilidad y eficiencia.

Lista completa de las características de Suricata

Motor

Engine de Sistema de Detección de Intrusión en Red (NIDS)

Motor del Sistema de Prevención de Intrusión de Red (NIPS)

Poderoso motor de supervisión de seguridad de red (NSM)

Análisis fuera de línea de los archivos PCAP

Grabación de tráfico usando el logger pcap

Modo de socket Unix para procesamiento automatizado de archivos PCAP

Integración avanzada con firewall de Linux Netfilter

Soporte del sistema operativo

Linux

FreeBSD

OpenBSD

MacOS / Mac OS X

Ventanas

Configuración

Archivo de configuración YAML – legible por máquina y humano

Bien comentado y documentado

Soporte para incluir otros archivos

Motores TCP / IP

Engine de flujo escalable

Soporte completo de IPv6

Descodificación de túneles

Teredo

IP-IP

IP6-IP4

IP4-IP6

GRE

Motor de flujo TCP

Sesiones de seguimiento

Reensamblaje

Reensamblaje basado en el destino

Engine IP Defrag

Reensamblaje basado en objetivos

Analizadores de protocolo

Soporte para la decodificación de paquetes de

IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE

Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN

Descodificación de capa de aplicación de:

HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP / CIP, DNP3, NFS, NTP

Motor HTTP

Analizador HTTP de estado construido en libhtp

Registrador de solicitud HTTP

Identificación, extracción y registro de archivos

Por configuración del servidor – límites, personalidad, etc.

Palabras claves para coincidir en los búferes (normalizados):

Uri y uri crudo

Encabezados y encabezados crudos

Cockies

Agente de usuario

Cuerpo de la solicitud y cuerpo de la respuesta

Método, estado y código de estado

anfitrión

Líneas de solicitud y respuesta

Engine de detección

Palabras clave de protocolo

Multi Alquiler

Xbits – extensión de flowbits

Soporte PCRE

Captura de subcadenas para iniciar sesión en EVE

Patrón rápido

Perfil de reglas

Correspondencia de archivos

Tamaño del archivo

Nombre de archivo y extensión

Archivo MD5 checksum – escala hasta millones de sumas de comprobación

Algoritmos de matcher de múltiples patrones que se pueden seleccionar

Amplias opciones de ajuste

Live rule reloads – use nuevas reglas sin reiniciar Suricata

Inicialización de reglas diferidas

Lua scripting

Integración de Hyperscan

Salidas

Eve log, todas las alertas y salida de eventos en JSON

Scripts de salida Lua

Ayuda Redis

Registro de peticiones HTTP

TLS handshake registro

Salida Unified2 – compatible con Barnyard2

Registro rápido de alerta

Registro de depuración de alertas para escritores de reglas

Grabación de tráfico utilizando el logger pcap

Apoyo Preludio

Drop log – registro de estilo de netfilter de paquetes perdidos en modo IPS

Syslog – alerta a syslog

Stats – estadísticas del motor a intervalos fijos

Registro de archivos incluyendo MD5 checksum en formato JSON

Almacenamiento de archivos extraídos en el disco

Registro de solicitud / respuesta de DNS, incluidos datos TXT

Rotación de registro basada en señal

Registro de flujo

Filtrado de alertas / eventos

Por filtrado y umbral de alertas de reglas

Filtrado de alertas globales y umbrales

Por configuración de limitación de frecuencia y umbrales de host / subred

Adquisición de paquetes

Captura de alto rendimiento

AF_PACKET

PF_RING

NETMAP

Captura estándar

PCAP

NFLOG (integración de netfilter)

Modo IPS

Netfilter basado en Linux (nfqueue)

Falla en el soporte abierto

Ipfw basado en FreeBSD y NetBSD

AF_PACKET basado en Linux

NETMAP

Tarjetas de captura y dispositivos especializados

Endace

Napatech

Tilera

Multi Threading

Pre-armados “runmodes”

Configuración opcional de afinidad de la CPU

Perfilado de bloqueo opcional

Reputación IP

Carga de grandes cantidades de datos de reputación basada en host

Coincidencia en datos de reputación en el lenguaje de reglas usando la palabra clave “iprep”

Soporte de recarga en vivo

Soporta rangos CIDR

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion