Este programa realiza una inspección profunda de paquetes junto con la coincidencia de patrones, una combinación que es increíblemente poderosa en la detección de amenazas.
Entre sus características se encuentran:
- IDS/IPS: Suricata es un motor de prevención y detección de intrusiones basado en reglas que aprovecha los conjuntos de reglas desarrollados externamente, como el conjunto de reglas de Talos y el conjunto de reglas de Emerging Threats Suricata para monitorizar el tráfico de red en busca de cualquier actividad maliciosa, violaciones de políticas y amenazas.
- Detección automática de protocolos: El motor de este programa detecta automáticamente protocolos como HTTP y HTTPS. FTP y SMB en cualquier puerto y aplica la lógica adecuada de detección y registro. Esto es útil para detectar soporte lógico malicioso y canales CnC.
- Secuencias de comandos de Lua: Suricata puede invocar secuencias de comandos de Lua que brindan detección avanzada de programas maliciosos para detectar y decodificar el tráfico de malware que, de otro modo, sería difícil de detectar.
- Subprocesos múltiples: Este programa proporciona velocidad e importancia en la determinación del tráfico de red. El motor está desarrollado para aplicar la mayor potencia de procesamiento que ofrecen los conjuntos de chips de soporte físico multinúcleo modernos.
Suricata posee una herramienta de consola llamada Control de placa base Suricata ("Suricata Socket Control", en inglés), que permite al usuario interactuar con el demonio de Suricata en ejecución para obtener información y controlar algunas funciones del programa base.
Para activar esta herramienta, se usará el comando suricatasc (anteponiendo sudo si no se ha iniciado la sesión como administrador).
COMANDOS BÁSICOS
Posee los siguientes comandos elementales:
- shutdown: Cierra la instancia de Suricata.
- quit: Cierra este programa.
- command-list: Muestra una lista de comandos disponibles.
- help: Muestra la ayuda sobre los comandos disponibles.
- version: Muestra la versión de la instancia de Suricata.
- uptime: Muestra el tiempo de actividad del programa.
- running-mode: Muestra el modo de ejecución.
- capture-mode: Muestra el modo de captura.
- conf-get <variable>: Obtiene el valor de configuración de una variable dada. La variable que se debe proporcionar puede ser cualquiera de los parámetros de configuración escritos en el "suricata.yaml".
- dump-counters: Elimina los contadores de rendimiento de Suricata.
- ruleset-reload-rules: Recarga el conjunto de reglas (hay que esperar a que termine).
- reload-rules: Alias; funciona igual que el comando anterior.
- ruleset-reload-nonblocking: Recarga el conjunto de reglas y continúa sin espera.
- ruleset-reload-time: Hora de retorno de la última recarga.
- ruleset-stats: Muestra el número de reglas cargadas y fallidas.
- ruleset-failed-rules: Muestra la lista de reglas fallidas.
- register-tenant-handler <id> <htype> [hargs]: Registra un controlador de inquilino con la asignación especificada.
- unregister-tenant-handler <id> <htype> [hargs]: Anula el registro de un controlador de inquilino con la asignación especificada.
- register-tenant <id> <nombre de archivo>: Registra inquilino con un ID y nombre de archivo particulares.
- reload-tenant <id> <nombre de archivo>: Recarga un inquilino con el ID especificado. Se puede especificar un nombre de archivo para un archivo YAML de inquilino. Si se omite, se utiliza el archivo YAML original utilizado para cargar o recargar el inquilino por última vez.
- unregister-tenant <id>: Da de baja a un inquilino con una identificación determinada.
- add-hostbit <dirección IP> <hostbit> <caducidad>: Agrega un hostbit (infraestructura que aloja o gestiona información a nivel de bits) en una IP de nodo con un nombre de bit particular y un tiempo de vencimiento.
- remove-hostbit <dirección IP> <hostbit>: Elimina un hostbit en una IP de nodo con dirección IP y nombre de bit especificados.
- list-hostbit <dirección IP>: Enumera el bit de anfitrión para una IP de anfitrión particular.
- reopen-log-files: Volver a abrir los archivos de registro que se ejecutarán después de la rotación del registro externo.
- memcap-set <config> <memcap>: Actualiza el valor de memcap de un elemento especificado.
- memcap-show <config>: Muestra el valor de memcap de un elemento específico.
- memcap-list: Enumera todos los valores de memcap disponibles.
COMANDOS DEL MODO PCAP
Este modo del Suricata se refiere a su capacidad para analizar archivos de captura de paquetes (PCAPs) sin conexión, procesando tráfico grabado previamente para detectar amenazas, en lugar de hacerlo en tiempo real sobre una interfaz de red viva.
Sus comandos son:
- pcap-file <nombre de archivo> <directorio> [inquilino] [continuous] [delete-when-done]: Agregar archivos pcap a Suricata para su procesamiento secuencial. Los archivos de registro/alerta generados se guardarán en el directorio especificado como segundo argumento. Debe proporcionarse la ruta completa a los archivos y al directorio. Se pueden agregar varios archivos sin esperar el resultado.
- pcap-file-continuous <nombre de archivo> <directorio> [inquilino] [delete-when-done]: Agrega archivos pcap a este programa para su procesamiento secuencial. Se supervisará el directorio para detectar nuevos archivos añadidos hasta que se use la interrupción pcap o se mueva o elimine el directorio.
- pcap-file-number: Número de archivos pcap en espera de ser procesados.
- pcap-file-list: Muestra una lista de archivos pcap en cola.
- pcap-last-processed: Tiempo de procesamiento del último archivo en milisegundos desde la época.
- pcap-interrupt: Termina el estado actual interrumpiendo el procesamiento del directorio.
- pcap-current: Archivo procesado actualmente.
Espero que la presente entrada haya sido interesante para el lector; de ser así, aguardo que éste la comente y/o la comparta, por favor.
No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.