Open in app

Sign in

Write

Sign in

Suricata’nın Yapılandırılması

kaleileriteknoloji
2 min readAug 2, 2021

Suricata’yı kullanmak için bir tane ağ arayüzünü dinleme modunda ayarlayarak trafiğin bu ağ arayüzüne yönlendirilmesi gerekmektedir.

İlk olarak ağ arayüzlerini “ip a” komutu ile görüntüleyelim.

Eth1 ağ arayüzünü promisc moda almak için aşağıdaki komut kullanılmalıdır:

# ifconfig eth1 promisc

Promisc moda aldıktan sonra tekrardan ağ arayüzlerini görüntülediğimizde arayüzün PROMISC moda geçtiğini görebiliyoruz.

Suricata’da trafiğin kuyruklanması için iptables aracılığıyla aşağıdaki komutlar kullanılabilir.

#iptables –A INPUT –j NFQUEUE

#iptables –A OUTPUT –j NFQUEUE

Suricata ayarları /etc/suricata/suricata.yml dosyasında tutulmaktadır.

İlk olarak tanımlamalarda yer alan HOME_NET ve EXTERNAL_NET ifadelerinin tanımlanması sağlanmalıdır.

Loglama için filename:eve.json ifadesinin belirtilmesi sonucu loglar /var/log/suricata/eve.json olarak kaydedilmektedir. Filebeat aracılığıyla loglar toplanarak, logstash ile parse edilerek kibana’da logların incelenmesi sağlanabilir.

Ayarlarda ağ arayüzü bilgileri promisc moda aldığımız ağ arayüzü ile aşağıdaki şekilde güncellenmelidir:

af-packet:

- interface: eth1

pcap:

- interface: eth1

netmap:

- interface: eth1

pfring:

- interface: eth1

Suricata kuralların tanımlanması için aşağıdaki şekilde değişiklik yapılmalıdır. Burada kullanılması istenen kurallar belirtilmelidir.

Suricata kurallarını güncellemek için aşağıdaki komut kullanılmalıdır:

#suricata-update

Kurallar /etc/suricata/rules dizini altında bulunmaktadır.

Suricatayı aşağıdaki komut ile çalıştırabiliriz:

Suricata
Siber Güvenlik
Threat Hunting
Tehdit Avcılığı
Threat Detection

--

--

kaleileriteknoloji

Written by kaleileriteknoloji

379 Followers

https://kaleileriteknoloji.com.tr/ https://kaleakademi.com/ https://github.com/kaleakademi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams