1.简介
1.1 功能简介
Wazuh与基于网络的入侵检测系统NIDS集成,通过监控网络流量来增强威胁检测。在本次示例中将Suricata与Wazuh集成,使用Suricata网络流量检查功能提供有关网络安全的更多详情。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
安装Suricata,通过Wazuh监控和分析此端点上生成的网络流量 |
2.环境配置
2.1Ubuntu配置
在Ubuntu上配置Suricata,并将生成的日志发送到Wazuh服务器
1)安装suricata
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata -y2)下载并提取Emerging Threats Suricata规则集
cd /tmp/ && curl -LO https://rules.emergingthreats.net/open/suricata-6.0.8/emerging.rules.tar.gz
sudo mkdir -p /etc/suricata/rules
sudo tar -xvzf emerging.rules.tar.gz && sudo mv rules/*.rules /etc/suricata/rules/
sudo chmod 640 /etc/suricata/rules/*.rules3)配置suricata
HOME_NET: "<UBUNTU_IP>"
EXTERNAL_NET: "any"
default-rule-path: /var/lib/suricata/rules
rule-files:
- suricata.rules
- /etc/suricata/rules/local.rules
# Global stats configuration
stats:
enabled: no
# Linux high speed capture support
af-packet:
- interface: ens33设置HOME_NET为本机IP地址
查看当前IP地址
ip add
4)配置ICMP告警规则
alert icmp any any -> $HOME_NET any (msg:"GPL SCAN Broadscan Smurf Scanner"; sid:2100478; rev:4;)
5)重启suricata服务
sudo systemctl restart suricata6)配置Wazuh读取Suricata日志
<ossec_config>
<localfile>
<log_format>json</log_format>
<location>/var/log/suricata/eve.json</location>
</localfile>
</ossec_config>
7)重启wazuh代理服务
sudo systemctl restart wazuh-agent2.2攻击测试
1)Ping测试
从Wazuh服务器Ping Ubuntu 端点IP地址
ping -c 20 192.168.208.151
2.3查看告警
1)查看suricata告警信息
more /var/log/suricata/fast.log
2)查看eve.json文件告警
more /var/log/suricata/eve.json | jq | grep "GPL SCAN"
3)基于告警组查询
通过查询suricata告警组进行查询,查询语法:rule.groups:suricata
原文始发于微信公众号(安全孺子牛):Wazuh集成开源IDS-Suricata
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论