問題タブ [suricata]

Suricataについて質問です

条件付きアラートを作成する方法はありますか?

例 - リクエストに対するサーバーステータスが「成功」の場合の HTTP GET のアラート

ありがとう、エフラット

Windows で Suricata をセットアップしています。インライン モードをテストできますが、インライン モードにしようとすると、アラートの代わりにドロップできます。問題は、エラーが発生し、NF キューが見つからないことです。最初に自動インストールを試みましたが、この方法では Suricata をインラインで使用することは不可能のようです。

Snort for Windows をインライン モードにすることに成功した人はいますか?助けてください。

Cygwin for Windows に Suricata をインストールしようとしていますが、./configure を実行すると libnet version 1.1.x could not be found という警告が表示されます。解決策が見つからないため、これを修正する方法を知っている人はいますか。

AWS VPC フロー ログ (オフライン モード) の IDS として suricata を使用したいと考えています。すでに実装されている人、またはこのシナリオに適した他の IDS。

前もって感謝します

次のようなテストがあります。

私の環境：

OS：デビアン8

私のネットワーク：

私のsuricataビルド情報:

そして、テスト ルールのみをロードします。

A:172.20.0.1 (ゲートウェイ suricata) OS 情報:

クライアントは次のようにリクエストを送信します

fast.log を追跡します。#2 のルールのみが一致します

次のようなiptablesでnatを開こうとしました：

そして今回は #1 #2 #3 のルールが一致した

しかし、アプリサーバーが正しいクライアントIPを取得しなかったというnatが開かれました

住所。

そして今、http_uri、http_methodなどの7層プロトコルを使用したいと思います。nat は閉じている必要があります。

私は正しい方法が欲しい〜〜〜ありがとう！

HOME_NET の前にある suricata.yaml ファイルで sed を使用して IP アドレスを変更する必要があります。

次の正規表現を使用して、これまでにない IP アドレスを管理できます。

問題は、ファイル内のすべての IP アドレスが変更されることです。HOME_NETの前にあることに興味があります。