1 : Installer Suricata sur Debian (IDS et IPS)

Message par **admin** » 12 juin 2025, 21:30

Bienvenue dans ma nouvelle catégorie de tutos, sur la Cybersécurité : Les SIEM!
Tout d'abord, installons et testons l'outil "Suricata" sur une distribution de Linux - Debian 12 - Bookworm. Chez moi sur un Raspberry Pi4.
Suricata étant la base d'un SIEM, et il est aussi un IDS et un IPS très puissant et gratuit, et étant la base du SIEM (Security Information and Event Managment).

Suivez les étapes suivantes, et posez vos questions au besoin

Code : Tout sélectionner
```
apt-get update
```
Code : Tout sélectionner
```
apt-get install -y libpcap-dev libpcre3-dev libyaml-dev zlib1g-dev libmagic-dev libjansson-dev libcap-ng-dev
```
Code : Tout sélectionner
```
apt install rustc cargo
```
Code : Tout sélectionner
```
apt -y install autoconf automake build-essential cargo \
	    cbindgen libjansson-dev libpcap-dev libpcre2-dev libtool \
	    libyaml-dev make pkg-config rustc zlib1g-dev
```
- Si vous êtes sur Raspberry Pi :
Code : Tout sélectionner
```
apt install suricata
```
- Si vous êtes sur un debian, et que vous voulez la dernière version de Suricata :
- ○ Télécharges Suricata sur le site de l’OISF
  Code : Tout sélectionner
```
wget https://www.openinfosecfoundation.org/download/suricata-current.tar.gz
```
  ○
  Code : Tout sélectionner
```
tar -xvzf suricata-(la dernière version).tar.gz
```
  Code : Tout sélectionner
```
cd suricata-(la dernière version)
```
  REM : remplacez (la dernière version), par le numéro de votre version téléchargée.
  
  ○ Lancez la configuration du compileur avec :
  - Code : Tout sélectionner
```
./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/
```
    (ou, tout simplement) :
    Code : Tout sélectionner
```
./configure)
```
  ○ Compilez le programme avec
  Code : Tout sélectionner
```
make -j$(nproc)
```
  - Installez-le ensuite avec
  Code : Tout sélectionner
```
sudo make
```
  ○ Vérifiez l’installation avec
  Code : Tout sélectionner
```
suricata --build-info
```
  ○ Cela devrait montrer les informations de version et de compilation.
- configuration :
- Code : Tout sélectionner
```
cd /etc/suricata/
```
  Code : Tout sélectionner
```
cp suricata.yaml suricata.yaml.1st
```
  Code : Tout sélectionner
```
nano !:1
```
  Configurer "HOME_NET" (au début du fichier, ligne 18) et "Interface" (au milieu du fichier, ligne 622, 819, 2017 - normalement, tout est correct, juste vérifier avec ^/ , et le numéro de ligne, qui est correct normalement)
  ○ Explications ici : https://docs.suricata.io/en/latest/quic ... asic-setup
  ○
  Code : Tout sélectionner
```
suricata-update
```
  ○ systemctl restart suricata
  
  ○ (pour copier tous les fichiers de règles, si elles ne sont pas dans le bon dossier, sinon, sauter le script; par ex, suricata cherche mes rules, dans /etc/suricata/rules/, alors, qu'ils se trouvent dans /var/lib/suricata/rules/) :
  Code : Tout sélectionner
```
for f in /var/lib/suricata/rules/*; do
         ln -s "$f" /etc/suricata/rules/
done
```
  ○ Enregistrez le code dans un fichier, puis, exécutez le script qu'on vient de faire, puis :
  Code : Tout sélectionner
```
cat /etc/suricata/rules/suricata.rules | grep 2100498
```
  - Vous devez avoir affichélf ceci :
  - - alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)
  ○ Redémarrez (sinon, vos logs risquent de pas fonctionner) :
  Code : Tout sélectionner
```
reboot
```
  ○ Ouvrez un autre onglé, de votre OS qui accueille suricata (Raspberry Pi 4), et tapez dedans :
  Code : Tout sélectionner
```
tail -f /var/log/suricata/fast.log
```
  ○ Saisissez dans le premier onglé:
  Code : Tout sélectionner
```
curl http://testmynids.org/uid/index.html
```
  ○ Vous devez avoir ceci d'affiché :
  ○
  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} (etc…)
  
  ○ EVE Json :
  ○ d'abord installer "jq" :
  Code : Tout sélectionner
```
apt install jq
```
  ○ Puis :
  Code : Tout sélectionner
```
tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'
```
  ○ Ou :
  Code : Tout sélectionner
```
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")|.stats.capture.kernel_packets'
```
  Ou :
  Code : Tout sélectionner
```
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")'
```
  puis :
  Code : Tout sélectionner
```
curl http://testmynids.org/uid/index.html
```
  - Si tout si tout s'est bien passé jusqu'à là, c'est que vous avez configurés tout correctement.
  
  - Pour la suite :
  
  Installer le software (version d'essai de 60j) Splunk sur mon Windows 11 :
  - https://www.splunk.com/en_us/download.html
  (Il s'agit de la version Entreprise, que je peux tester pdt 60j, et après, elle passe automatiquement en version Free)
  ou
  Installez le freeware (qui est gratuit) ELK sur le Windows 11:
  
  https://www.elastic.co/downloads/
  
  https://www.elastic.co/downloads/elasticsearch
  https://www.elastic.co/downloads/logstash
  https://www.elastic.co/downloads/kibana
Sources :

Merci ChatGPT

https://docs.suricata.io/en/latest/quic ... asic-setup
https://docs.suricata.io/en/latest/inst ... stallation

source : https://blog.alphorm.com/suricata-ids-i ... es-menaces