ProHoster > Блог > internet vijesti > Izdavanje Suricata 6.0 sistema za detekciju upada

Izdavanje Suricata 6.0 sistema za detekciju upada

После года разработки организация OISF (Open Information Security Foundation) objavljeno oslobađanje sistema za detekciju i prevenciju upada u mrežu Meerkat 6.0, koji omogućava inspekciju raznih vrsta saobraćaja. U Suricata konfiguracijama, dozvoljena je upotreba baze potpisa, koji je razvio projekat Snort, kao i skupove pravila Emerging Threats и Emerging Threats Pro. Izvorni kod projekta širenje licenciran pod GPLv2.

Glavne promjene:

  • Начальная поддержка HTTP/2.
  • Поддержка протоколов RFB и MQTT, включая возможность определения протокола и ведения лога.
  • Возможность ведения лога для протокола DCERPC.
  • Значительное повышение производительности ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON. Ускорение достигнуто благодаря задействованию нового построитель сток JSON, написанного на языке Rust.
  • Повышена масштабируемость системы логов EVE и реализована возможность ведения отельного лог-файла на каждый поток.
  • Возможность определения условий для сброса сведений в лог.
  • Возможность отражения MAC-адресов в логе EVE и повышение детализации лога DNS.
  • Повышение производительности движка обработки потоков (flow engine).
  • Поддержка идентификации реализаций SSH (HASSH).
  • Реализация декодировщика туннелей GENEVE.
  • На языке Rust переписан код для обработки ASN.1, DCERPC и SSH. На Rust также реализована поддержка новых протоколов.
  • В языке определения правил в ключевом слове byte_jump добавлена поддержка параметра from_end, а в byte_test — параметра bitmask. Реализовано ключевое слово pcrexform, позволяющее использовать регулярные выражения (pcre) для захвата подстроки. Добавлено преобразование urldecode. Добавлено ключевое слово byte_math.
  • Предоставления возможность использования cbindgen для генерации привязок на языках Rust и C.
  • Добавлена начальная поддержка плагинов.

Karakteristike Suricate:

  • Upotreba objedinjenog formata za prikaz rezultata validacije unified2, koji također koristi projekt Snort, omogućavajući korištenje standardnih alata za analizu kao što su barnyard2. Mogućnost integracije sa BASE, Snorby, Sguil i SQueRT proizvodima. Podrška za izlaz u PCAP formatu;
  • Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućava da radite u pravilima samo prema tipu protokola, bez upućivanja na broj porta (npr. , za blokiranje HTTP prometa na nestandardnom portu) . Dekoderi za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
  • Moćan HTTP sistem za analizu saobraćaja koji koristi specijalnu HTP biblioteku kreiranu od strane autora Mod_Security projekta za raščlanjivanje i normalizaciju HTTP saobraćaja. Dostupan je modul za održavanje detaljnog dnevnika tranzitnih HTTP transfera, dnevnik se čuva u standardnom formatu
    Apache. Podržano je izdvajanje i provjera datoteka prenesenih putem HTTP protokola. Podrška za raščlanjivanje komprimovanog sadržaja. Mogućnost identifikacije po URI-ju, kolačiću, zaglavljima, korisničkim agentom, tijelom zahtjeva/odgovora;

  • Podrška za različite interfejse za presretanje saobraćaja, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već sačuvane datoteke u PCAP formatu;
  • Visoke performanse, mogućnost obrade tokova do 10 gigabita/s na konvencionalnoj opremi.
  • Motor za usklađivanje maski visokih performansi sa velikim skupovima IP adresa. Podrška za odabir sadržaja po maski i regularnim izrazima. Odvajanje datoteka od prometa, uključujući njihovu identifikaciju po imenu, tipu ili MD5 kontrolnoj sumi.
  • Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
  • Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućava da održite vidljivost uz lakoću mašinske obrade;
  • Potpuna IPv6 podrška;
  • Ugrađeni motor za automatsku defragmentaciju i ponovno sastavljanje paketa, koji omogućava da se osigura ispravna obrada streamova, bez obzira na redoslijed kojim paketi pristižu;
  • Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Podrška za dekodiranje paketa: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Način evidentiranja za ključeve i certifikate koji se pojavljuju unutar TLS/SSL veza;
  • Sposobnost pisanja Lua skripti za pružanje napredne analize i implementaciju dodatnih funkcija potrebnih za identifikaciju tipova saobraćaja za koje standardna pravila nisu dovoljna.

izvor: opennet.ru

Dodajte komentar