ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vum Suricata 6.0 Andréngen Detektiounssystem

Verëffentlechung vum Suricata 6.0 Andréngen Detektiounssystem

No engem Joer Entwécklung ass d'OISF (Open Information Security Foundation) Organisatioun publizéiert Verëffentlechung vum Netzintrusiounserkennung a Präventiounssystem Meerkat 6.0, déi Tools ubitt fir verschidden Zorte vu Verkéier ze kontrolléieren. A Suricata Konfiguratiounen ass et méiglech ze benotzen Ënnerschrëft Datenbanken, entwéckelt vum Snort-Projet, wéi och Regelen Emerging Bedrohungen и Emerging Threats Pro. Projet Quellen ausbreeden lizenzéiert ënner GPLv2.

Main Ännerungen:

  • Éischt Ënnerstëtzung fir HTTP/2.
  • Ënnerstëtzung fir RFB a MQTT Protokoller, dorënner d'Fäegkeet fir de Protokoll ze definéieren an e Log ze halen.
  • Méiglechkeet vu Logbicher fir den DCERPC Protokoll.
  • Bedeitend Verbesserung vun der Logleistung duerch den EVE Subsystem, deen Eventoutput am JSON-Format ubitt. D'Beschleunigung gouf erreecht duerch d'Benotzung vun engem neie JSON Stock Builder an der Rust Sprooch geschriwwe.
  • D'Skalierbarkeet vum EVE Log System gouf erhéicht an d'Fäegkeet fir eng separat Logdatei fir all thread z'erhalen ass ëmgesat ginn.
  • D'Kapazitéit fir Konditioune ze definéieren fir d'Informatioun op de Log ze resetten.
  • Méiglechkeet fir MAC Adressen am EVE Log ze reflektéieren an den Detail vum DNS Log ze erhéijen.
  • Verbesserung vun der Leeschtung vum Flowmotor.
  • Ënnerstëtzung fir SSH Implementatiounen z'identifizéieren (HASS).
  • Ëmsetzung vum GENEVE Tunnel Decoder.
  • De Code fir d'Veraarbechtung gouf an der Rust Sprooch nei geschriwwe ginn ASN.1, DCERPC an SSH. Rust ënnerstëtzt och nei Protokoller.
  • An der Regeldefinitiounssprooch ass Ënnerstëtzung fir den from_end-Parameter zum byte_jump Schlësselwuert dobäigesat ginn, an Ënnerstëtzung fir de Bitmask-Parameter gouf op byte_test bäigefüügt. Implementéiert de pcrexform Schlësselwuert fir datt regulär Ausdréck (pcre) benotzt kënne ginn fir eng Substring z'erfaassen. Derbäi urldecode Konversioun. Byte_math Schlësselwuert dobäigesat.
  • Bitt d'Fäegkeet fir cbindgen ze benotzen fir Bindungen a Rust a C Sproochen ze generéieren.
  • Ugefaangen initial Plugin Ënnerstëtzung.

Features vu Suricata:

  • Benotzt e vereenegt Format fir Scanresultater ze weisen Vereenegt 2, och vum Snort-Projet benotzt, wat d'Benotzung vu Standardanalyse-Tools wéi z Barnyard 2. Méiglechkeet vun Integratioun mat BASE, Snorby, Sguil an SQueRT Produiten. PCAP Output Ënnerstëtzung;
  • Ënnerstëtzung fir automatesch Detektioun vu Protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, asw.), wat Iech erlaabt Iech a Regelen nëmmen no Protokolltyp ze bedreiwen, ouni Referenz op d'Portnummer (zum Beispill HTTP blockéieren Traffic op engem net-Standard Hafen). Disponibilitéit vun Decoder fir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP an SSH Protokoller;
  • E mächtege HTTP-Verkéiersanalysesystem deen eng speziell HTP-Bibliothéik benotzt, déi vum Auteur vum Mod_Security-Projet erstallt gëtt fir den HTTP-Traffic ze analyséieren an ze normaliséieren. E Modul ass verfügbar fir en detailléierte Log vun Transit HTTP Transferen z'erhalen; de Log gëtt an engem Standardformat gespäichert
    Apache. Recuperéieren an iwwerpréiwen Dateien iwwer HTTP iwwerdroe gëtt ënnerstëtzt. Ënnerstëtzung fir kompriméiert Inhalt ze analyséieren. Fähigkeit ze identifizéieren duerch URI, Cookie, Header, User-Agent, Ufro / Äntwert Kierper;

  • Ënnerstëtzung fir verschidden Interfaces fir Traffic Offangen, dorënner NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Et ass méiglech scho gespäichert Dateien am PCAP Format ze analyséieren;
  • Héich Leeschtung, Fäegkeet fir Flux bis zu 10 Gigabits / sec op konventionell Ausrüstung ze veraarbecht.
  • High-Performance Mask passende Mechanismus fir grouss Sätze vun IP Adressen. Ënnerstëtzung fir Inhalt duerch Mask a reegelméissegen Ausdrock ze wielen. Isoléieren Dateien vum Traffic, dorënner hir Identifikatioun mam Numm, Typ oder MD5 Checksum.
  • Fähegkeet Variabelen an Regelen ze benotzen: Dir kënnt Informatiounen aus engem Baach späicheren a spéider se an anere Regelen benotzen;
  • D'Benotzung vum YAML-Format a Konfiguratiounsdateien, wat Iech erlaabt Kloerheet z'erhalen, während se einfach ze machen;
  • Voll IPv6 Ënnerstëtzung;
  • Built-in Motor fir automatesch Defragmentatioun an Erhuelung vu Päckchen, wat d'korrekt Veraarbechtung vu Streamen erlaabt, onofhängeg vun der Uerdnung an där Päck ukommen;
  • Ënnerstëtzung fir Tunnelprotokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Paketdekodéierungssupport: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modus fir Schlësselen an Zertifikater ze protokolléieren, déi an TLS / SSL Verbindungen erscheinen;
  • D'Kapazitéit fir Scripten am Lua ze schreiwen fir fortgeschratt Analyse ze bidden an zousätzlech Fäegkeeten ëmzesetzen déi néideg sinn fir Trafficarten z'identifizéieren fir déi Standardregelen net genuch sinn.

Source: opennet.ru

Setzt e Commentaire