Verëffentlechung vum Suricata 6.0 Andréngen Detektiounssystem
No engem Joer Entwécklung ass d'OISF (Open Information Security Foundation) Organisatioun publizéiert Verëffentlechung vum Netzintrusiounserkennung a Präventiounssystem Meerkat 6.0, déi Tools ubitt fir verschidden Zorte vu Verkéier ze kontrolléieren. A Suricata Konfiguratiounen ass et méiglech ze benotzen Ënnerschrëft Datenbanken, entwéckelt vum Snort-Projet, wéi och Regelen Emerging Bedrohungen и Emerging Threats Pro. Projet Quellen ausbreeden lizenzéiert ënner GPLv2.
Main Ännerungen:
Éischt Ënnerstëtzung fir HTTP/2.
Ënnerstëtzung fir RFB a MQTT Protokoller, dorënner d'Fäegkeet fir de Protokoll ze definéieren an e Log ze halen.
Méiglechkeet vu Logbicher fir den DCERPC Protokoll.
Bedeitend Verbesserung vun der Logleistung duerch den EVE Subsystem, deen Eventoutput am JSON-Format ubitt. D'Beschleunigung gouf erreecht duerch d'Benotzung vun engem neie JSON Stock Builder an der Rust Sprooch geschriwwe.
D'Skalierbarkeet vum EVE Log System gouf erhéicht an d'Fäegkeet fir eng separat Logdatei fir all thread z'erhalen ass ëmgesat ginn.
D'Kapazitéit fir Konditioune ze definéieren fir d'Informatioun op de Log ze resetten.
Méiglechkeet fir MAC Adressen am EVE Log ze reflektéieren an den Detail vum DNS Log ze erhéijen.
Verbesserung vun der Leeschtung vum Flowmotor.
Ënnerstëtzung fir SSH Implementatiounen z'identifizéieren (HASS).
Ëmsetzung vum GENEVE Tunnel Decoder.
De Code fir d'Veraarbechtung gouf an der Rust Sprooch nei geschriwwe ginn ASN.1, DCERPC an SSH. Rust ënnerstëtzt och nei Protokoller.
An der Regeldefinitiounssprooch ass Ënnerstëtzung fir den from_end-Parameter zum byte_jump Schlësselwuert dobäigesat ginn, an Ënnerstëtzung fir de Bitmask-Parameter gouf op byte_test bäigefüügt. Implementéiert de pcrexform Schlësselwuert fir datt regulär Ausdréck (pcre) benotzt kënne ginn fir eng Substring z'erfaassen. Derbäi urldecode Konversioun. Byte_math Schlësselwuert dobäigesat.
Bitt d'Fäegkeet fir cbindgen ze benotzen fir Bindungen a Rust a C Sproochen ze generéieren.
Ugefaangen initial Plugin Ënnerstëtzung.
Features vu Suricata:
Benotzt e vereenegt Format fir Scanresultater ze weisen Vereenegt 2, och vum Snort-Projet benotzt, wat d'Benotzung vu Standardanalyse-Tools wéi z Barnyard 2. Méiglechkeet vun Integratioun mat BASE, Snorby, Sguil an SQueRT Produiten. PCAP Output Ënnerstëtzung;
Ënnerstëtzung fir automatesch Detektioun vu Protokoller (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, asw.), wat Iech erlaabt Iech a Regelen nëmmen no Protokolltyp ze bedreiwen, ouni Referenz op d'Portnummer (zum Beispill HTTP blockéieren Traffic op engem net-Standard Hafen). Disponibilitéit vun Decoder fir HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP an SSH Protokoller;
E mächtege HTTP-Verkéiersanalysesystem deen eng speziell HTP-Bibliothéik benotzt, déi vum Auteur vum Mod_Security-Projet erstallt gëtt fir den HTTP-Traffic ze analyséieren an ze normaliséieren. E Modul ass verfügbar fir en detailléierte Log vun Transit HTTP Transferen z'erhalen; de Log gëtt an engem Standardformat gespäichert
Apache. Recuperéieren an iwwerpréiwen Dateien iwwer HTTP iwwerdroe gëtt ënnerstëtzt. Ënnerstëtzung fir kompriméiert Inhalt ze analyséieren. Fähigkeit ze identifizéieren duerch URI, Cookie, Header, User-Agent, Ufro / Äntwert Kierper;
Ënnerstëtzung fir verschidden Interfaces fir Traffic Offangen, dorënner NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Et ass méiglech scho gespäichert Dateien am PCAP Format ze analyséieren;
Héich Leeschtung, Fäegkeet fir Flux bis zu 10 Gigabits / sec op konventionell Ausrüstung ze veraarbecht.
High-Performance Mask passende Mechanismus fir grouss Sätze vun IP Adressen. Ënnerstëtzung fir Inhalt duerch Mask a reegelméissegen Ausdrock ze wielen. Isoléieren Dateien vum Traffic, dorënner hir Identifikatioun mam Numm, Typ oder MD5 Checksum.
Fähegkeet Variabelen an Regelen ze benotzen: Dir kënnt Informatiounen aus engem Baach späicheren a spéider se an anere Regelen benotzen;
D'Benotzung vum YAML-Format a Konfiguratiounsdateien, wat Iech erlaabt Kloerheet z'erhalen, während se einfach ze machen;
Voll IPv6 Ënnerstëtzung;
Built-in Motor fir automatesch Defragmentatioun an Erhuelung vu Päckchen, wat d'korrekt Veraarbechtung vu Streamen erlaabt, onofhängeg vun der Uerdnung an där Päck ukommen;
Ënnerstëtzung fir Tunnelprotokoller: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
Modus fir Schlësselen an Zertifikater ze protokolléieren, déi an TLS / SSL Verbindungen erscheinen;
D'Kapazitéit fir Scripten am Lua ze schreiwen fir fortgeschratt Analyse ze bidden an zousätzlech Fäegkeeten ëmzesetzen déi néideg sinn fir Trafficarten z'identifizéieren fir déi Standardregelen net genuch sinn.