องค์กร OISF (มูลนิธิความมั่นคงปลอดภัยสารสนเทศแบบเปิด)
การเปลี่ยนแปลงที่สำคัญ:
- มีการแนะนำโมดูลใหม่สำหรับการแยกวิเคราะห์และโปรโตคอลการบันทึก
RDP, SNMP และ SIP เขียนด้วยภาษา Rust โมดูลการแยกวิเคราะห์ FTP ขณะนี้มีความสามารถในการบันทึกผ่านระบบย่อย EVE ซึ่งจัดเตรียมเอาต์พุตเหตุการณ์ในรูปแบบ JSON - นอกเหนือจากการรองรับวิธีการระบุไคลเอ็นต์ JA3 TLS ที่ปรากฏในรีลีสล่าสุดแล้ว ยังรองรับวิธีการดังกล่าวอีกด้วย
JA3S ,อนุญาต ขึ้นอยู่กับลักษณะของการเจรจาการเชื่อมต่อและพารามิเตอร์ที่ระบุ ให้พิจารณาว่าซอฟต์แวร์ใดใช้เพื่อสร้างการเชื่อมต่อ (เช่น ซอฟต์แวร์ช่วยให้คุณสามารถกำหนดการใช้ Tor และแอปพลิเคชันมาตรฐานอื่นๆ) JA3 อนุญาตให้คุณกำหนดไคลเอนต์ และ JA3S ให้คุณกำหนดเซิร์ฟเวอร์ ผลลัพธ์ของการพิจารณาสามารถใช้ในภาษาการตั้งค่ากฎและในบันทึก - เพิ่มความสามารถในการทดลองเพื่อจับคู่ตัวอย่างจากชุดข้อมูลขนาดใหญ่ นำไปใช้งานโดยใช้การดำเนินการใหม่
ชุดข้อมูลและ datarep . ตัวอย่างเช่น คุณลักษณะนี้ใช้กับการค้นหามาสก์ในบัญชีดำขนาดใหญ่ที่มีรายการนับล้านรายการ - โหมดการตรวจสอบ HTTP ให้ความครอบคลุมทุกสถานการณ์ที่อธิบายไว้ในชุดทดสอบโดยสมบูรณ์
HTTP เอเวเดอร์ (เช่น ครอบคลุมถึงเทคนิคที่ใช้ในการซ่อนกิจกรรมที่เป็นอันตรายในการจราจร) - เครื่องมือสำหรับการพัฒนาโมดูลในภาษา Rust ได้ถูกถ่ายโอนจากตัวเลือกไปยังความสามารถมาตรฐานบังคับ ในอนาคตมีการวางแผนที่จะขยายการใช้ Rust ในฐานรหัสโครงการและค่อยๆ แทนที่โมดูลด้วยแอนะล็อกที่พัฒนาใน Rust
- กลไกการกำหนดโปรโตคอลได้รับการปรับปรุงเพื่อปรับปรุงความแม่นยำและจัดการกับกระแสการรับส่งข้อมูลแบบอะซิงโครนัส
- มีการเพิ่มการรองรับรายการประเภท "ความผิดปกติ" ใหม่ลงในบันทึก EVE ซึ่งจัดเก็บเหตุการณ์ผิดปกติที่ตรวจพบเมื่อถอดรหัสแพ็กเก็ต EVE ยังได้ขยายการแสดงข้อมูลเกี่ยวกับ VLAN และอินเทอร์เฟซการรับส่งข้อมูล เพิ่มตัวเลือกในการบันทึกส่วนหัว HTTP ทั้งหมดในรายการบันทึก EVE http;
- ตัวจัดการที่ใช้ eBPF ให้การสนับสนุนกลไกฮาร์ดแวร์เพื่อเร่งการจับแพ็กเก็ต ปัจจุบันการเร่งด้วยฮาร์ดแวร์จำกัดอยู่เฉพาะกับอะแดปเตอร์เครือข่าย Netronome แต่จะพร้อมใช้งานสำหรับอุปกรณ์อื่นๆ ในเร็วๆ นี้
- รหัสสำหรับการรับส่งข้อมูลโดยใช้กรอบงาน Netmap ได้รับการเขียนใหม่ เพิ่มความสามารถในการใช้คุณสมบัติ Netmap ขั้นสูง เช่น สวิตช์เสมือน
VALE ; -
เพิ่ม รองรับรูปแบบคำจำกัดความคำหลักใหม่สำหรับ Sticky Buffers รูปแบบใหม่ถูกกำหนดในรูปแบบ "protocol.buffer" ตัวอย่างเช่น สำหรับการตรวจสอบ URI คำหลักจะอยู่ในรูปแบบ "http.uri" แทนที่จะเป็น "http_uri" - รหัส Python ทั้งหมดที่ใช้ได้รับการทดสอบความเข้ากันได้กับ
ไพธอน 3; - การสนับสนุนสถาปัตยกรรม Tilera, บันทึกข้อความ dns.log และไฟล์บันทึกเก่า-json.log ถูกยกเลิกแล้ว
คุณสมบัติของ Suricata:
- การใช้รูปแบบรวมเพื่อแสดงผลการสแกน
แบบครบวงจร2 ซึ่งใช้โดยโครงการ Snort ซึ่งอนุญาตให้ใช้เครื่องมือวิเคราะห์มาตรฐานเช่นโรงนา2 . ความเป็นไปได้ของการรวมเข้ากับผลิตภัณฑ์ BASE, Snorby, Sguil และ SQueRT รองรับเอาต์พุต PCAP; - รองรับการตรวจจับโปรโตคอลอัตโนมัติ (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB ฯลฯ ) ช่วยให้คุณทำงานในกฎตามประเภทโปรโตคอลเท่านั้น โดยไม่ต้องอ้างอิงถึงหมายเลขพอร์ต (เช่น บล็อก HTTP การรับส่งข้อมูลบนพอร์ตที่ไม่ได้มาตรฐาน) ความพร้อมใช้งานของตัวถอดรหัสสำหรับโปรโตคอล HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP และ SSH;
- ระบบวิเคราะห์การรับส่งข้อมูล HTTP ที่ทรงพลังซึ่งใช้ไลบรารี HTP พิเศษที่สร้างโดยผู้เขียนโครงการ Mod_Security เพื่อแยกวิเคราะห์และทำให้การรับส่งข้อมูล HTTP เป็นมาตรฐาน โมดูลพร้อมใช้งานสำหรับการรักษาบันทึกโดยละเอียดของการถ่ายโอน HTTP การขนส่งสาธารณะ บันทึกจะถูกบันทึกในรูปแบบมาตรฐาน
อาปาเช่. รองรับการดึงและตรวจสอบไฟล์ที่ส่งผ่าน HTTP รองรับการแยกวิเคราะห์เนื้อหาที่บีบอัด ความสามารถในการระบุโดย URI, คุกกี้, ส่วนหัว, ตัวแทนผู้ใช้, เนื้อหาคำขอ/การตอบกลับ; - รองรับอินเทอร์เฟซต่างๆ สำหรับการสกัดกั้นการรับส่งข้อมูล รวมถึง NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING สามารถวิเคราะห์ไฟล์ที่บันทึกไว้แล้วในรูปแบบ PCAP ได้
- ประสิทธิภาพสูง ความสามารถในการประมวลผลไหลสูงสุด 10 กิกะบิตต่อวินาทีบนอุปกรณ์ทั่วไป
- กลไกการจับคู่มาสก์ประสิทธิภาพสูงสำหรับชุดที่อยู่ IP จำนวนมาก รองรับการเลือกเนื้อหาตามมาสก์และนิพจน์ทั่วไป การแยกไฟล์ออกจากการรับส่งข้อมูล รวมถึงการระบุไฟล์ตามชื่อ ประเภท หรือผลรวมตรวจสอบ MD5
- ความสามารถในการใช้ตัวแปรในกฎ: คุณสามารถบันทึกข้อมูลจากสตรีมแล้วนำไปใช้ในกฎอื่นในภายหลังได้
- การใช้รูปแบบ YAML ในไฟล์การกำหนดค่า ซึ่งช่วยให้คุณรักษาความชัดเจนในขณะที่ง่ายต่อการประมวลผล
- รองรับ IPv6 เต็มรูปแบบ;
- เอ็นจิ้นในตัวสำหรับการจัดเรียงข้อมูลอัตโนมัติและการประกอบแพ็กเก็ตใหม่ ช่วยให้สามารถประมวลผลสตรีมได้อย่างถูกต้อง โดยไม่คำนึงถึงลำดับที่แพ็กเก็ตมาถึง
- รองรับโปรโตคอลการขุดอุโมงค์: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
- รองรับการถอดรหัสแพ็คเก็ต: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, อีเธอร์เน็ต, PPP, PPPoE, Raw, SLL, VLAN;
- โหมดสำหรับคีย์การบันทึกและใบรับรองที่ปรากฏภายในการเชื่อมต่อ TLS/SSL
- ความสามารถในการเขียนสคริปต์ใน Lua เพื่อให้การวิเคราะห์ขั้นสูงและใช้ความสามารถเพิ่มเติมที่จำเป็นในการระบุประเภทของการรับส่งข้อมูลที่กฎมาตรฐานไม่เพียงพอ
ที่มา: opennet.ru