Organizace OISF (Open Information Security Foundation) publikováno uvolnění systému detekce a prevence narušení sítě Surikata 5.0, která poskytuje nástroje pro kontrolu různých typů provozu. V konfiguracích Suricata je možné použít podpisové databáze, vyvinutý projektem Snort, a také sady pravidel Vznikající hrozby и Emerging Threats Pro. Zdroje projektu šíření pod licencí GPLv2.
Hlavní změny:
Byly zavedeny nové moduly pro analýzu a protokolování protokolů
RDP, SNMP a SIP napsané v Rustu. Modul syntaktické analýzy FTP má nyní možnost protokolovat prostřednictvím subsystému EVE, který poskytuje výstup událostí ve formátu JSON;
Kromě podpory pro metodu identifikace klienta JA3 TLS, která se objevila v posledním vydání, podpora pro tuto metodu JA3S, dovolující Na základě charakteristik vyjednávání připojení a zadaných parametrů určete, jaký software se používá k navázání připojení (umožňuje například určit použití Tor a dalších standardních aplikací). JA3 umožňuje definovat klienty a JA3S umožňuje definovat servery. Výsledky stanovení lze použít v jazyce nastavení pravidel a v protokolech;
Přidána experimentální schopnost porovnávat vzorky z velkých souborů dat, implementovaná pomocí nových operací dataset a datarep. Tato funkce je například použitelná pro vyhledávání masek ve velkých blacklistech obsahujících miliony záznamů;
Režim kontroly HTTP poskytuje plné pokrytí všech situací popsaných v testovací sadě HTTP Evader (např. zahrnuje techniky používané ke skrytí škodlivé činnosti v provozu);
Nástroje pro vývoj modulů v jazyce Rust byly převedeny z možností na povinné standardní schopnosti. Do budoucna se plánuje rozšíření použití Rustu v základně projektového kódu a postupná výměna modulů za analogy vyvinuté v Rustu;
Modul definice protokolu byl vylepšen, aby zlepšil přesnost a zvládl asynchronní toky provozu;
Do protokolu EVE byla přidána podpora pro nový typ záznamu „anomálie“, který ukládá atypické události zjištěné při dekódování paketů. EVE také rozšířila zobrazování informací o VLAN a rozhraních pro zachycení provozu. Přidána možnost uložit všechny HTTP hlavičky do položek protokolu EVE http;
Obslužné programy založené na eBPF poskytují podporu pro hardwarové mechanismy pro urychlení zachycování paketů. Hardwarová akcelerace je v současnosti omezena na síťové adaptéry Netronome, ale brzy bude k dispozici pro další zařízení;
Kód pro zachycování provozu pomocí rámce Netmap byl přepsán. Přidána možnost používat pokročilé funkce Netmap, jako je virtuální přepínač ÚDOLÍ;
Přidal podpora nového schématu definice klíčových slov pro Sticky Buffers. Nové schéma je definováno ve formátu „protocol.buffer“, například pro kontrolu URI bude mít klíčové slovo tvar „http.uri“ místo „http_uri“;
Veškerý použitý kód Pythonu je testován na kompatibilitu s
Python3;
Podpora architektury Tilera, textového protokolu dns.log a starého souboru protokolu-json.log byla ukončena.
Vlastnosti Suricaty:
Použití jednotného formátu k zobrazení výsledků skenování Sjednocený 2, také používaný projektem Snort, který umožňuje použití standardních analytických nástrojů, jako je např chlév 2. Možnost integrace s produkty BASE, Snorby, Sguil a SQueRT. podpora výstupu PCAP;
Podpora automatické detekce protokolů (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB atd.), která umožňuje pracovat v pravidlech pouze podle typu protokolu, bez vazby na číslo portu (například blokovat HTTP provoz na nestandardním portu). Dostupnost dekodérů pro protokoly HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP a SSH;
Výkonný systém pro analýzu provozu HTTP, který používá speciální knihovnu HTP vytvořenou autorem projektu Mod_Security k analýze a normalizaci provozu HTTP. Pro vedení podrobného záznamu tranzitních HTTP přenosů je k dispozici modul, který je ukládán ve standardním formátu
Apache. Je podporováno načítání a kontrola souborů přenášených přes HTTP. Podpora pro analýzu komprimovaného obsahu. Schopnost identifikovat pomocí URI, Cookie, hlaviček, user-agent, těla požadavku/odpovědi;
Podpora různých rozhraní pro zachycování provozu, včetně NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Je možné analyzovat již uložené soubory ve formátu PCAP;
Vysoký výkon, schopnost zpracovávat toky až 10 gigabitů/s na konvenčním zařízení.
Vysoce výkonný mechanismus porovnávání masek pro velké sady IP adres. Podpora výběru obsahu podle masky a regulárních výrazů. Izolace souborů od provozu, včetně jejich identifikace podle názvu, typu nebo kontrolního součtu MD5.
Schopnost používat proměnné v pravidlech: můžete uložit informace z proudu a později je použít v jiných pravidlech;
Použití formátu YAML v konfiguračních souborech, který umožňuje zachovat přehlednost a přitom se snadno strojně zpracovávat;
Plná podpora IPv6;
Vestavěný engine pro automatickou defragmentaci a opětovné sestavení paketů, umožňující správné zpracování toků bez ohledu na pořadí, ve kterém pakety přicházejí;
Režim pro protokolování klíčů a certifikátů objevujících se v připojeních TLS/SSL;
Schopnost psát skripty v jazyce Lua, které poskytují pokročilou analýzu a implementují další funkce potřebné k identifikaci typů provozu, pro které standardní pravidla nestačí.