www.ctrl-click.fr

suricata-update --disable-conf /etc/suricata/disable.conf

sudo suricata-update \
  --no-test \
  --suricata-conf /etc/suricata/suricata.yaml \
  --disable-conf /etc/suricata/disable.conf \
  --url https://rules.emergingthreats.net/open/suricata-7.0/emerging.rules.tar.gz \
  --output /var/lib/suricata/rules/

sudo suricata-update update-sources
sudo suricata-update enable-source et/open
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source sslbl/ssl-fp-blacklist
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
sudo systemctl restart suricata

tcpdump -i eth2 -n 

○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.


[code]suricata-update --disable-conf /etc/suricata/disable.conf[/code]
ou :
[code]sudo suricata-update \
--no-test \
--suricata-conf /etc/suricata/suricata.yaml \
--disable-conf /etc/suricata/disable.conf \
--url https://rules.emergingthreats.net/open/suricata-7.0/emerging.rules.tar.gz \
--output /var/lib/suricata/rules/
[/code]
puis :
[code]sudo suricata-update update-sources
sudo suricata-update enable-source et/open
sudo suricata-update enable-source ptresearch/attackdetection
sudo suricata-update enable-source sslbl/ssl-fp-blacklist
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
sudo systemctl restart suricata[/code]


Pour vérifier que la capture fonctionne bien :
[code]tcpdump -i eth2 -n [/code]
(vous pouvez filterer avec |grep "<code ip>", pour voir s'il capture tous les paquets)


Pour recharger les tableaux de bords (kibana), faire :
[list=1]1) démarrer elasticsearch
2) démarrer kibana
3) faire :
[list=2]a. systemctl stop filebeat
b. filebeat setup
c. systemctl start filebeat
[/list]