Suricata
Installation et configuration
IDS/IPS réseau, règles, sorties EVE JSON et analyse d’alertes corrélée au trafic.
Modes d'utilisation
- IDS passif sur port miroir/TAP ;
- IPS inline ;
- analyse hors ligne d'un PCAP ;
- sonde réseau avec EVE JSON vers un SIEM.
Vérifier la configuration
suricata --build-info
sudo suricata -T -c /etc/suricata/suricata.yaml
Interface et capture
Dans suricata.yaml, adapte af-packet ou le mécanisme correspondant à ta plateforme. Vérifie :
- interface correcte ;
HOME_NET;- checksum offloading ;
- nombre de threads ;
- rotation des logs ;
- espace disque.
Analyse d'un PCAP
mkdir -p output
suricata -r capture.pcapng -c /etc/suricata/suricata.yaml -l output
jq -c 'select(.event_type=="alert")' output/eve.json | head
Mise à jour des règles
sudo suricata-update
sudo suricata -T -c /etc/suricata/suricata.yaml
sudo systemctl restart suricata
Contrôles de santé
sudo tail -f /var/log/suricata/stats.log
sudo jq -r '.event_type' /var/log/suricata/eve.json | sort | uniq -c
Attention
Le mode IPS inline peut bloquer du trafic de production. Valide d'abord les règles en IDS, mesure les faux positifs et prévois un bypass.