プロホスト > ブログ > インターネットニュース > Suricata 5.0 攻撃検出システムが利用可能

Suricata 5.0 攻撃検出システムが利用可能

組織 OISF (オープン情報セキュリティ財団) опубликовала ネットワーク侵入検知・防御システムのリリース ミーアキャット5.0、さまざまなタイプのトラフィックを検査するためのツールを提供します。 Suricata 構成では、以下を使用できます。 署名データベース、Snort プロジェクトによって開発されたものと一連のルール 新たな脅威 и 新たな脅威プロ。 プロジェクトソース 広める GPLv2に基づいてライセンスされています。

主な変更点:

  • プロトコルの解析とログ記録のための新しいモジュールが導入されました
    RDP、SNMP、SIPはRustで書かれています。 EVE サブシステムを介してログを記録する機能が FTP 解析モジュールに追加され、JSON 形式でイベント出力が提供されます。

  • 前回のリリースで登場した JA3 TLS クライアント識別メソッドのサポートに加えて、 JA3S, 許可する 接続ネゴシエーションの特性と指定されたパラメーターに基づいて、接続の確立にどのソフトウェアが使用されるかを決定します (たとえば、Tor やその他の標準アプリケーションの使用を決定できます)。 JA3 ではクライアントを定義でき、JA3S ではサーバーを定義できます。決定の結果は、ルール設定言語とログで使用できます。
  • 新しい操作を使用して実装された、大規模なデータセットからサンプルを照合する実験機能を追加しました データセットとデータレップ。たとえば、この機能は、数百万のエントリを含む大規模なブラックリスト内のマスクの検索に適用できます。
  • HTTP 検査モードは、テスト スイートで説明されているすべての状況を完全にカバーします。 HTTP エベイダー (例: トラフィック内の悪意のあるアクティビティを隠すために使用される技術をカバーします)。
  • Rust 言語でモジュールを開発するためのツールは、オプションから必須の標準機能に移行しました。将来的には、プロジェクトのコード ベースでの Rust の使用を拡大し、モジュールを Rust で開発された類似物に徐々に置き換える予定です。
  • プロトコル定義エンジンが改良され、精度が向上し、非同期トラフィック フローを処理できるようになりました。
  • 新しい「異常」エントリ タイプのサポートが EVE ログに追加され、パケットのデコード時に検出された異常なイベントが保存されます。 EVE では、VLAN およびトラフィック キャプチャ インターフェイスに関する情報の表示も拡張されました。すべての HTTP ヘッダーを EVE http ログ エントリに保存するオプションを追加しました。
  • eBPF ベースのハンドラーは、パケット キャプチャを高速化するためのハードウェア メカニズムのサポートを提供します。ハードウェア アクセラレーションは現在 Netronome ネットワーク アダプタに限定されていますが、間もなく他の機器でも利用できるようになる予定です。
  • Netmap フレームワークを使用してトラフィックをキャプチャするコードが書き直されました。仮想スイッチなどの高度なネットマップ機能を使用する機能を追加しました VALE;
  • 追加した スティッキー バッファーの新しいキーワード定義スキームのサポート。新しいスキームは「protocol.buffer」形式で定義されます。たとえば、URI を検査する場合、キーワードは「http_uri」ではなく「http.uri」の形式になります。
  • 使用されるすべての Python コードは、以下との互換性がテストされています。
    Python3;

  • Tilera アーキテクチャ、テキスト ログ dns.log および古いログ ファイル -json.log のサポートは廃止されました。

Suricata の特徴:

  • 統一フォーマットを使用したスキャン結果の表示 ユニファイド2、Snort プロジェクトでも使用され、次のような標準分析ツールの使用が可能になります。 ヒエ2。 BASE、Snorby、Sguil、SQueRT 製品との統合の可能性。 PCAP 出力のサポート。
  • プロトコル (IP、TCP、UDP、ICMP、HTTP、TLS、FTP、SMB など) の自動検出のサポートにより、ポート番号を参照せずに、プロトコル タイプのみによってルールを操作できます (HTTP をブロックするなど)。非標準ポート上のトラフィック)。 HTTP、SSL、TLS、SMB、SMB2、DCERPC、SMTP、FTP、SSH プロトコルのデコーダーの利用可能性。
  • Mod_Security プロジェクトの作成者によって作成された特別な HTP ライブラリを使用して、HTTP トラフィックを解析および正規化する強力な HTTP トラフィック分析システム。 モジュールは、トランジット HTTP 転送の詳細なログを維持するために利用できます。ログは標準形式で保存されます。
    アパッチ。 HTTP経由で送信されたファイルの取得と確認がサポートされています。 圧縮コンテンツの解析のサポート。 URI、Cookie、ヘッダー、ユーザーエージェント、リクエスト/レスポンスボディによって識別する機能。

  • NFQueue、IPFRing、LibPcap、IPFW、AF_PACKET、PF_RING など、トラフィック傍受のためのさまざまなインターフェイスのサポート。 すでに保存されている PCAP 形式のファイルを解析することが可能です。
  • 高性能で、従来の装置で最大 10 ギガビット/秒のフローを処理できます。
  • 大規模な IP アドレスのセットに対する高性能マスク マッチング メカニズム。 マスクと正規表現によるコンテンツの選択のサポート。 名前、タイプ、または MD5 チェックサムによるファイルの識別を含め、ファイルをトラフィックから分離します。
  • ルール内で変数を使用する機能: ストリームから情報を保存し、後で他のルールで使用できます。
  • 構成ファイルでの YAML 形式の使用。これにより、機械加工が容易でありながら明確さを維持できます。
  • IPv6 を完全にサポート。
  • パケットの自動最適化と再構築のための内蔵エンジンにより、パケットの到着順序に関係なく、ストリームを正しく処理できます。
  • トンネリング プロトコルのサポート: Teredo、IP-IP、IP6-IP4、IP4-IP6、GRE。
  • パケットデコードのサポート: IPv4、IPv6、TCP、UDP、SCTP、ICMPv4、ICMPv6、GRE、イーサネット、PPP、PPPoE、Raw、SLL、VLAN。
  • TLS/SSL 接続内に表示されるキーと証明書をログに記録するためのモード。
  • Lua でスクリプトを作成して、高度な分析を提供し、標準ルールでは不十分なトラフィックの種類を識別するために必要な追加機能を実装する機能。

    • 出所: オープンネット.ru

コメントを追加します