par admin » 12 juin 2025, 21:30
Bienvenue dans ma nouvelle catégorie de tutos, sur la Cybersécurité : Les SIEM!
Tout d'abord, installons et testons l'outil "Suricata" sur une distribution de Linux - Debian 12 - Bookworm. Chez moi sur un Raspberry Pi4.
Suricata étant la base d'un SIEM, et il est aussi un IDS et un IPS très puissant et gratuit, et étant la base du SIEM (Security Information and Event Managment).
Suivez les étapes suivantes, et posez vos questions au besoin
-
Code : Tout sélectionner
apt-get install -y libpcap-dev libpcre3-dev libyaml-dev zlib1g-dev libmagic-dev libjansson-dev libcap-ng-dev
Code : Tout sélectionner
apt -y install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev
- Si vous êtes sur un debian, et que vous voulez la dernière version de Suricata :
- ○ Télécharges Suricata sur le site de l’OISF
Code : Tout sélectionner
wget https://www.openinfosecfoundation.org/download/suricata-current.tar.gz
○ Lancez la configuration du compileur avec :
Code : Tout sélectionner
./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/
○ Compilez le programme avec
- Installez-le ensuite avec
○ Vérifiez l’installation avec
○ Cela devrait montrer les informations de version et de compilation.
- configuration :
-
Configurer "HOME_NET" (au début du fichier, ligne 18) et "Interface" (au milieu du fichier, ligne 622, 819, 2017 - normalement, tout est correct, juste vérifier avec ^/ , et le numéro de ligne, qui est correct normalement)
○ Explications ici : https://docs.suricata.io/en/latest/quic ... asic-setup
○
○ systemctl restart suricata
○ (pour copier tous les fichiers de règles, si elles ne sont pas dans le bon dossier, sinon, sauter le script; par ex, suricata cherche mes rules, dans /etc/suricata/rules/, alors, qu'ils se trouvent dans /var/lib/suricata/rules/) :
Code : Tout sélectionner
for f in /var/lib/suricata/rules/*; do
ln -s "$f" /etc/suricata/rules/
done
- alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)
○ Redémarrez (sinon, vos logs risquent de pas fonctionner) :
○ Ouvrez un autre onglé, de votre OS qui accueille suricata (Raspberry Pi 4), et tapez dedans :
○ Saisissez dans le premier onglé:
○ Vous devez avoir ceci d'affiché :
○ [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} (etc…)
○ EVE Json :
○ d'abord installer "jq" :
○ Puis :
Code : Tout sélectionner
tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'
Code : Tout sélectionner
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")|.stats.capture.kernel_packets'
Code : Tout sélectionner
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")'
- Si tout si tout s'est bien passé jusqu'à là, c'est que vous avez configurés tout correctement.
- Pour la suite :
Installer le software (version d'essai de 60j) Splunk sur mon Windows 11 :
- https://www.splunk.com/en_us/download.html
(Il s'agit de la version Entreprise, que je peux tester pdt 60j, et après, elle passe automatiquement en version Free)
ou
Installez le freeware (qui est gratuit) ELK sur le Windows 11:
https://www.elastic.co/downloads/
https://www.elastic.co/downloads/elasticsearch
https://www.elastic.co/downloads/logstash
https://www.elastic.co/downloads/kibana
Sources :
Merci ChatGPT
https://docs.suricata.io/en/latest/quic ... asic-setup
https://docs.suricata.io/en/latest/inst ... stallation
source : https://blog.alphorm.com/suricata-ids-i ... es-menaces
Bienvenue dans ma nouvelle catégorie de tutos, sur la Cybersécurité : Les SIEM!
Tout d'abord, installons et testons l'outil "Suricata" sur une distribution de Linux - Debian 12 - Bookworm. Chez moi sur un Raspberry Pi4.
Suricata étant la base d'un SIEM, et il est aussi un IDS et un IPS très puissant et gratuit, et étant la base du SIEM (Security Information and Event Managment).
Suivez les étapes suivantes, et posez vos questions au besoin ;)
[list]
[code]
apt-get update[/code]
[code]apt-get install -y libpcap-dev libpcre3-dev libyaml-dev zlib1g-dev libmagic-dev libjansson-dev libcap-ng-dev[/code]
[code]apt install rustc cargo[/code]
[code]apt -y install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev[/code]
- Si vous êtes sur Raspberry Pi :
[code]apt install suricata[/code]
- Si vous êtes sur un debian, et que vous voulez la dernière version de Suricata :
[list]
○ Télécharges Suricata sur le site de l’OISF
[code]wget https://www.openinfosecfoundation.org/download/suricata-current.tar.gz[/code]
○
[code]tar -xvzf suricata-(la dernière version).tar.gz[/code]
[code]cd suricata-(la dernière version)[/code]
REM : remplacez (la dernière version), par le numéro de votre version téléchargée.
○ Lancez la configuration du compileur avec :
[list]
[code]./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/[/code]
(ou, tout simplement) :
[code]./configure)[/code][/list]
○ Compilez le programme avec
[code]make -j$(nproc)[/code]
- Installez-le ensuite avec
[code]sudo make[/code]
○ Vérifiez l’installation avec
[code]suricata --build-info[/code]
○ Cela devrait montrer les informations de version et de compilation.
[/list]
- configuration :
[list]
[code]cd /etc/suricata/[/code]
[code]cp suricata.yaml suricata.yaml.1st[/code]
[code]nano !:1[/code]
Configurer "HOME_NET" (au début du fichier, ligne 18) et "Interface" (au milieu du fichier, ligne 622, 819, 2017 - normalement, tout est correct, juste vérifier avec ^/ , et le numéro de ligne, qui est correct normalement)
○ Explications ici : https://docs.suricata.io/en/latest/quickstart.html#basic-setup
○ [code]suricata-update[/code]
○ systemctl restart suricata
○ (pour copier tous les fichiers de règles, si elles ne sont pas dans le bon dossier, sinon, sauter le script; par ex, suricata cherche mes rules, dans /etc/suricata/rules/, alors, qu'ils se trouvent dans /var/lib/suricata/rules/) :
[code]
for f in /var/lib/suricata/rules/*; do
ln -s "$f" /etc/suricata/rules/
done
[/code]
○ Enregistrez le code dans un fichier, puis, exécutez le script qu'on vient de faire, puis :
[code]cat /etc/suricata/rules/suricata.rules | grep 2100498[/code]
- Vous devez avoir affichélf ceci :
[list][quote]- alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)[/quote][/list]
○ Redémarrez (sinon, vos logs risquent de pas fonctionner) :
[code]reboot[/code]
○ Ouvrez un autre onglé, de votre OS qui accueille suricata (Raspberry Pi 4), et tapez dedans :
[code]tail -f /var/log/suricata/fast.log[/code]
○ Saisissez dans le premier onglé:
[code]curl http://testmynids.org/uid/index.html[/code]
○ Vous devez avoir ceci d'affiché :
○ [quote][**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} (etc…)[/quote]
○ EVE Json :
○ d'abord installer "jq" :
[code]apt install jq[/code]
○ Puis :
[code]tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'[/code]
○ Ou :
[code]sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")|.stats.capture.kernel_packets'[/code]
Ou :
[code]sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")'[/code]
puis :
[code]curl http://testmynids.org/uid/index.html[/code]
- Si tout si tout s'est bien passé jusqu'à là, c'est que vous avez configurés tout correctement.
- Pour la suite :
Installer le software (version d'essai de 60j) Splunk sur mon Windows 11 :
- [url]https://www.splunk.com/en_us/download.html[/url]
(Il s'agit de la version Entreprise, que je peux tester pdt 60j, et après, elle passe automatiquement en version Free)
ou
Installez le freeware (qui est gratuit) ELK sur le Windows 11:
[url]https://www.elastic.co/downloads/[/url]
[url]https://www.elastic.co/downloads/elasticsearch[/url]
[url]https://www.elastic.co/downloads/logstash[/url]
[url]https://www.elastic.co/downloads/kibana[/url]
[/list]
Sources :
Merci ChatGPT
https://docs.suricata.io/en/latest/quickstart.html#basic-setup
https://docs.suricata.io/en/latest/install.html#installation
source : https://blog.alphorm.com/suricata-ids-ips-pour-la-detection-des-menaces