Tout d'abord, installons et testons l'outil "Suricata" sur une distribution de Linux - Debian 12 - Bookworm. Chez moi sur un Raspberry Pi4.
Suricata étant la base d'un SIEM, et il est aussi un IDS et un IPS très puissant et gratuit, et étant la base du SIEM (Security Information and Event Managment).
Suivez les étapes suivantes, et posez vos questions au besoin
- apt-get update
- apt-get install -y libpcap-dev libpcre3-dev libyaml-dev zlib1g-dev libmagic-dev libjansson-dev libcap-ng-dev
- apt install rustc cargo
- apt -y install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev
- Télécharges Suricata sur le site de l’OISF, et uploadez-le sur votre serveur Rpi4.
- tar -xvzf suricata-.tar.gz
- cd suricata-
- Lancez la configuration du compileur avec :
○ ./configure --prefix=/usr/ --sysconfdir=/etc/ --localstatedir=/var/
- Compilez le programme avec
○ make
- Installez-le ensuite avec
○ sudo make install-full
- Vérifiez l’installation avec
○ suricata --build-info
- Cela devrait montrer les informations de version et de compilation.
- configuration :
○ cd /etc/suricata/
○ cp suricata.yaml suricata.yaml.1st
○ nano !:1
○ Configurer "HOME_NETWORKS" (au début du fichier) et "Interface" (au milieu du fichier, ligne 622, 819, 2017 - normalement, tout est correct, juste vérifier avec ^w)
○ Explications ici : https://docs.suricata.io/en/latest/quic ... asic-setup
○ suricata-update
○ systemctl restart suricata
○ (pour copier tous les fichiers de règles, si elles ne sont pas dans le bon dossier, sinon, sauter le script; par ex, suricata cherche mes rules, dans /etc/suricata/rules/, alors, qu'ils se trouvent dans /var/lib/suricata/rules/) :
○ for f in /var/lib/suricata/rules/*; do
○ ln -s "$f" /etc/suricata/rules/
○ Done
○ Exécutez le script qu'on vient de faire, puis :
○ cat /etc/suricata/rules/suricata.rules | grep 2100498
- Vous devez avoir affichélf ceci :
- alert ip any any -> any any (msg:"GPL ATTACK_RESPONSE id check returned root"; content:"uid=0|28|root|29|"; classtype:bad-unknown; sid:2100498; rev:7; metadata:created_at 2010_09_23, confidence Medium, signature_severity Informational, updated_at 2019_07_26;)
○ Ouvrez un autre onglé et tapez dedans :
§ tail -f /var/log/suricata/fast.log
○ Saisissez dans le premier onglé:
§ curl http://testmynids.org/uid/index.html
○ Vous devez avoir ceci d'affiché :
○ [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} (etc…)
○ EVE Json :
○ d'abord installer "jq" :
○ apt install jq
○ Puis :
○ tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'
○ Ou :
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")|.stats.capture.kernel_packets'
Ou :
sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="stats")'
- Si tout si tout s'est bien passé jusqu'à là, c'est que vous avez configurés tout correctement.
- Pour la suite :
Installer le collecteur Splunk sur mon Windows 11 :
- https://www.splunk.com/en_us/download.h ... hatgpt.com
(Il s'agit de la version Entreprise, que je peux tester pdt 60j, et après, elle passe automatiquement en version Free)
Sources :
https://docs.suricata.io/en/latest/quic ... asic-setup
https://docs.suricata.io/en/latest/inst ... stallation
source : https://blog.alphorm.com/suricata-ids-i ... es-menaces