www.ctrl-click.fr

nano /etc/suricata/threshold.conf
- ajoutez à la fin :
# Suppression des alertes APT pour deux IP specifiques
suppress gen_id 1, sig_id 2013504, track by_src, ip 172.0.0.2
suppress gen_id 1, sig_id 2013504, track by_src, ip 172.0.0.1
suppress gen_id 1, sig_id 2013504, track by_dst, ip 172.0.0.2 ...

○ Suricata doit utiliser un capteur haut-débit (af_packet, PF_RING, DPDK selon hardware) pour réduire les pertes.
○ Pour haute perf, utiliser af_packet dans suricata.yaml (cluster-id, cluster-type, copy-mode) ou PF_RING/DPDK si dispo.


suricata-update --disable-conf /etc/suricata/disable.conf
ou ...

1. Direction et limitation du SPAN
○ Vérifiez si le switch ne capture que l’ingress, l’egress ou les deux. Si c’est ingress-only vous manquerez la moitié du trafic.
○ Vérifiez la limite de sessions SPAN. Certains switches n’autorisent qu’un seul dest ou unidirectionnel.

Activez le mode promisc si nécessaire :
- ip link set dev eth2 promisc on
- ip link show eth2 | grep PROMISC
○ 2: eth2: <BROADCAST,MULTICAST, PROMISC ,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
Pour que le mode promisc fonctionne au redémarrage, faire un ...

Regarder le contenu de netplan :
- ls -la /etc/netplan
Si le fichier 90-… existe (crée par NetworkManager), créer un fichier (supérieur à 90, pour qu'il soit pris en compte, par-dessus au 90-… ), par ex : nano 95-custonm.yaml :


network:
version: 2
renderer: NetworkManager
ethernets:
eth2 ...

Suricata, surveille par défaut, en "HostOnly", seulement le poste sur lequel il est installé. Voyons comment on peut le configurer à écouter tout le réseau interne, de chez nous. Il vous faut donc, au minimum, un bon switch...

Check-list de ChatGPT :
Oui. Le miroir pointe vers le port 2 et les ...

Les REGex (expressions régulières) :

• . : Correspond à n’importe quel caractère unique.
• ^ : Correspond au début d’une ligne.
• $ : Recherche la fin d’une ligne.
• [ ] : Correspond à n’importe quel caractère entre les crochets.
• ? : L’élément précédent est facultatif.
• * : L’élément précédent ...

• Assurez-vous de posséder une "bonne" clé usb (mini 16Go (32Go c'est le top si vous voulez faire des mises à jour) et très rapide de préférence)

• télécharger kali live : kali liux live boot .iso ( https://www.kali.org/get-kali/#kali-platforms ) c'est ici :
1.png

1) Cliquez en premier ici

2 ...

Nous allons maintenant créer un Snapshot, afin de pouvoir sauvegarder nos donnés kibana, ou elastic. Et les restaurais au cas où...


Voici la méthode GUI :

1.png






Allez dans le menu "Management"

2.png


1) Sous-menu "Snapshot et restauration"
2) Enregistrer un référentiel




3.png ...

Sur votre poste Windows, ou ELK est installé :

1.png














Vous devez obtenir quelque chose comme ça, si tout est correct :

2.png

1) cliquez sur "Discover" sous "Logs"
Vous devriez avoir ceci :
(DEBUT ETAPE 1)

3.png


1) Choisissez ici le champ (par ex "destination.ip"
2) Vous avez ...