Organizacija OISF (Open Information Security Foundation) опубликовала izdanje sustava za otkrivanje i sprječavanje upada u mrežu Meerkat 5.0, koji nudi alate za pregled raznih vrsta prometa. U Suricata konfiguracijama moguće je koristiti baze podataka potpisa, razvijen od strane projekta Snort, kao i skupova pravila Nove prijetnje и Emerging Threats Pro. Izvori projekta širenje licenciran pod GPLv2.
Velike promjene:
Uvedeni su novi moduli za raščlanjivanje i protokole zapisivanja
RDP, SNMP i SIP napisani u Rustu. Mogućnost prijave preko podsustava EVE dodana je FTP modulu parsiranja, pružajući izlaz događaja u JSON formatu;
Uz podršku za JA3 TLS metodu identifikacije klijenta koja se pojavila u zadnjem izdanju, podrška za metodu JA3S, dopuštajući Na temelju karakteristika pregovaranja o povezivanju i navedenih parametara odredite koji se softver koristi za uspostavljanje veze (na primjer, omogućuje vam da odredite korištenje Tor-a i drugih standardnih aplikacija). JA3 omogućuje definiranje klijenata, a JA3S omogućuje definiranje poslužitelja. Rezultati određivanja mogu se koristiti u jeziku za postavljanje pravila iu zapisima;
Dodana je eksperimentalna mogućnost uparivanja uzoraka iz velikih skupova podataka, implementirana pomoću novih operacija skup podataka i datarep. Na primjer, značajka je primjenjiva na traženje maski u velikim crnim listama koje sadrže milijune unosa;
Način HTTP inspekcije pruža potpunu pokrivenost svih situacija opisanih u testnom paketu HTTP Evader (npr. pokriva tehnike koje se koriste za skrivanje zlonamjernih aktivnosti u prometu);
Alati za razvoj modula u jeziku Rust prebačeni su iz opcija u obvezne standardne mogućnosti. U budućnosti se planira proširiti korištenje Rusta u bazi projektnog koda i postupno zamijeniti module analozima razvijenim u Rustu;
Mehanizam za definiranje protokola poboljšan je kako bi poboljšao točnost i rukovao asinkronim prometnim tokovima;
Podrška za novu vrstu unosa "anomalija" dodana je u EVE log, koji pohranjuje atipične događaje otkrivene prilikom dekodiranja paketa. EVE je također proširio prikaz informacija o VLAN-ovima i sučeljima za snimanje prometa. Dodana opcija za spremanje svih HTTP zaglavlja u EVE http unose dnevnika;
Rukovatelji temeljeni na eBPF-u pružaju podršku za hardverske mehanizme za ubrzavanje hvatanja paketa. Hardversko ubrzanje trenutno je ograničeno na Netronome mrežne adaptere, ali će uskoro biti dostupno i za drugu opremu;
Kod za hvatanje prometa korištenjem Netmap okvira je ponovno napisan. Dodana mogućnost korištenja naprednih značajki Netmapa kao što je virtualni prekidač VALE;
Dodano podrška za novu shemu definiranja ključnih riječi za Sticky Buffers. Nova shema definirana je u formatu “protocol.buffer”, na primjer, za pregled URI-ja, ključna riječ će imati oblik “http.uri” umjesto “http_uri”;
Sav korišteni Python kod testiran je na kompatibilnost s
Python 3;
Podrška za Tilera arhitekturu, tekstualni dnevnik dns.log i stare datoteke dnevnika-json.log je ukinuta.
Značajke Suricata:
Korištenje objedinjenog formata za prikaz rezultata skeniranja Unificirano2, koji također koristi projekt Snort, koji omogućuje korištenje standardnih alata za analizu kao što su dvorište2. Mogućnost integracije s BASE, Snorby, Sguil i SQueRT proizvodima. podrška za PCAP izlaz;
Podrška za automatsko otkrivanje protokola (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, itd.), što vam omogućuje rad u pravilima samo prema vrsti protokola, bez pozivanja na broj priključka (na primjer, blokirajte HTTP promet na nestandardnoj luci) . Dostupnost dekodera za HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP i SSH protokole;
Snažan sustav za analizu HTTP prometa koji koristi posebnu HTP biblioteku koju je izradio autor projekta Mod_Security za analizu i normalizaciju HTTP prometa. Dostupan je modul za vođenje detaljne evidencije tranzitnih HTTP prijenosa; evidencija se sprema u standardnom formatu
Apache. Podržano je dohvaćanje i provjera datoteka prenesenih putem HTTP-a. Podrška za raščlanjivanje komprimiranog sadržaja. Mogućnost identifikacije pomoću URI-ja, kolačića, zaglavlja, korisničkog agenta, tijela zahtjeva/odgovora;
Podrška za različita sučelja za presretanje prometa, uključujući NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Moguće je analizirati već spremljene datoteke u PCAP formatu;
Visoke performanse, sposobnost obrade protoka do 10 gigabita/s na konvencionalnoj opremi.
Mehanizam podudaranja maski visokih performansi za velike skupove IP adresa. Podrška za odabir sadržaja pomoću maske i regularnih izraza. Izoliranje datoteka od prometa, uključujući njihovu identifikaciju imenom, vrstom ili MD5 kontrolnim zbrojem.
Mogućnost korištenja varijabli u pravilima: možete spremiti informacije iz toka i kasnije ih koristiti u drugim pravilima;
Korištenje YAML formata u konfiguracijskim datotekama, što vam omogućuje da zadržite jasnoću dok je jednostavan za strojnu obradu;
Puna IPv6 podrška;
Ugrađeni mehanizam za automatsku defragmentaciju i ponovno sastavljanje paketa, omogućavajući ispravnu obradu tokova, bez obzira na redoslijed pristizanja paketa;
Podrška za protokole tuneliranja: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Način za bilježenje ključeva i certifikata koji se pojavljuju unutar TLS/SSL veza;
Sposobnost pisanja skripti u Lua za pružanje napredne analize i implementacije dodatnih mogućnosti potrebnih za prepoznavanje vrsta prometa za koje standardna pravila nisu dovoljna.