Blue Team Field NotesDFIR · SOC · Vulnerability Management
Suricata

EVE JSON et triage

IDS/IPS réseau, règles, sorties EVE JSON et analyse d’alertes corrélée au trafic.

Types d'événements

EVE JSON peut contenir : alert, flow, dns, http, tls, fileinfo, anomaly, stats et d'autres protocoles selon la configuration.

Requêtes jq

# Alertes critiques
jq -c 'select(.event_type=="alert" and .alert.severity<=2)' eve.json

# Top signatures
jq -r 'select(.event_type=="alert") | .alert.signature' eve.json |
  sort | uniq -c | sort -nr | head

# DNS d'un hôte
jq -c 'select(.event_type=="dns" and .src_ip=="192.0.2.10") |
  {timestamp,src_ip,dest_ip,dns}' eve.json

# Flux par flow_id
FLOW=123456789
jq -c --argjson f "$FLOW" 'select(.flow_id==$f)' eve.json

Corrélation avec flow_id

Le champ flow_id relie les enregistrements d'une même session : alerte, DNS, HTTP, TLS, fichier et flow. Utilise-le pour reconstruire le contexte.

Triage d'une alerte

  1. lire signature, catégorie, sévérité et métadonnées ;
  2. identifier source/destination et sens du flux ;
  3. récupérer tous les événements du même flow_id ;
  4. rechercher d'autres alertes de l'hôte ;
  5. vérifier le PCAP ou une capture ciblée ;
  6. valider avec endpoint, DNS et proxy.

Exemple Splunk sur EVE

index=suricata event_type=alert
| stats count values(alert.signature) as signatures
  values(dest_ip) as destinations by src_ip
| sort - count
À retenir

Une signature indique une correspondance avec une règle, pas nécessairement une compromission. Le triage doit confirmer le comportement et l'impact.

Références officielles