Ubuntu Server24.04 ; Suricata , SNORT3 インストール

Suricata

SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。

1.Suricata のインストール

①必須パッケージをインストール

➁Suricata のインストール
公式サイトにアクセスし、最新バージョンを確認してください。 2024年5月4日現在のスリカタの最新安定バージョンは7.0.5です

ダウンロード・解凍

コンフィグレーション・インストール

バージョン確認

Suricataサービスを最初に構成する必要があるため、サービスを停止します。

2.Suricataを構成

①Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定

/etc/suricata/suricata.yamlファイル編集

➁suricataアップデート

処理されたルールの数を示し、この例では48910が追加され、そのうち37185が有効になりました。

➂設定ファイルをチェック

④サービスが起動することを確認
各自のネットワークインターフェース名を入力(今回はens33)

次のように表示される

3.Suricataサービスの自動起動

①systemdサービスを作成

➁Suricataを有効

➂Suricataを起動

④Suricataのステータスをチェック

4.Suricataルールのテスト

①ET Openルール番号2100498をテスト

ルール番号を指定してログファイルを確認

➁/var/log/suricata/eve.log のイベント確認
jq をインストール

2100498シグネチャを検索して、EVEログのイベントをフィルタリング
2100498の値と一致するsignature_idキーを持つalertオブジェクトを表示

次のように表示される

5.Custom Rulesの作成と適用

①Custom Rulesファイルにカスタム署名を作成

設定ファイルを編集(上記local.rulesのパスを定義)

③設定ファイルのテスト

④Suricat service再起動

⑤Custom Rulesの適用テスト
同一ローカルネットワーク上の別のPCでpingを実行し、ログに記録されたかどうかを確認する

⑥JSON形式のログを取得

jqをインストール

同一ローカルネットワーク上の別のPCでpingを実行

6.ルール・セット・プロバイダーの追加

①既定のプロバイダー リストを一覧表示

例としてtgreen/hunting ルールセットを含める場合

アップデートを実行

Snort3

1.必要なパッケージをインストール

2. DAQライブラリをインストール

DAQライブラリをダウンロードしてインストール

3. Gperftoolsをインストール

複数のインスタンスにおけるメモリ処理を改善することで、特定のアプリケーションやサービスのパフォーマンスを向上させるために使用されるプロファイラツール

4. SNORT3のインストール

①SNORT3のダウンロードと展開

➁コンフィグレーション

➂インストール

共有ライブラリを更新

⑤バージョンを確認

⑥デ フォルト設定をテスト

正常であれば下記のように表示される

5. ネットワークインタフェースを特定し、設定

①ネットワーク・イ ンターフェースを確認

ネットワーク・イ ンターフェース名はens33

➁ネットワークインターフェースをプロミスキャスモードに設定

設定を確認

ラージ・レシーブ・オフロード(LRO)とジェネリック・レシーブ・オフロード(GROをオフ状態に設定

現在の状態を確認

LROとGROのオフロードステータスをオフ状態に設定

6. ネットワークインターフェース用のsystemdサービスを作成

snort3-nic.serviceの内容

systemd デーモンをリロードし、変更を適用

snort3-nic.serviceを起動し、有効にします

snort3-nic.serviceのステータスを確認

7. Snort Rulesの追加

7.1 コミュニティ・ルールセットを追加

Snortルール用のフォルダを作成し、SnortのWebサイトからコミュニティルールセットをダウンロード

➁ Snortメイン設定ファイルを編集

➂ メイン構成の変更をテスト

7.2 カスタムルールを追加

Snort rulesディレクトリにファイルを作成

Snortメイン構成を編集

➂ メイン構成の変更をテスト

8. OpenAppIDインストール

OpenAppIDエクステンションをインストールすると、Snortはアプリケーションレイヤーレベルでネットワーク脅威を検出できるようになります

①OpenAppIDをダウンロードし、展開

➁解凍したフォルダ(odp)を以下のディレクトリにコピー

➂メイン設定ファイルを編集し、OpenAppIDフォルダの場所を定義