Blue Team Field NotesDFIR · SOC · Vulnerability Management
Suricata

Installation et configuration

IDS/IPS réseau, règles, sorties EVE JSON et analyse d’alertes corrélée au trafic.

Modes d'utilisation

Vérifier la configuration

suricata --build-info
sudo suricata -T -c /etc/suricata/suricata.yaml

Interface et capture

Dans suricata.yaml, adapte af-packet ou le mécanisme correspondant à ta plateforme. Vérifie :

Analyse d'un PCAP

mkdir -p output
suricata -r capture.pcapng -c /etc/suricata/suricata.yaml -l output
jq -c 'select(.event_type=="alert")' output/eve.json | head

Mise à jour des règles

sudo suricata-update
sudo suricata -T -c /etc/suricata/suricata.yaml
sudo systemctl restart suricata

Contrôles de santé

sudo tail -f /var/log/suricata/stats.log
sudo jq -r '.event_type' /var/log/suricata/eve.json | sort | uniq -c
Attention

Le mode IPS inline peut bloquer du trafic de production. Valide d'abord les règles en IDS, mesure les faux positifs et prévois un bypass.

Références officielles