수리카타 Suricata

수리카타
Suricata는 네트워크 트래픽을 실시간으로 검사하고 잠재적인 위협을 탐지할 수 있는 무료 오픈 소스 침입 탐지 및 방지 시스템(IDS/IPS)입니다. 

이 접근 방식에는 서로 다른 네트워크에 여러 센서를 배치하고 중앙 관리 시스템을 사용하여 센서에서 수집한 데이터를 모니터링하고 분석하기 위해서 각  네트워크에  센서와 소프트웨어를 설치하고 Suricata를 설정해 중앙 관리 시스템과 통신하도록 구성해야 합니다.

확장성이 뛰어나고 Linux, FreeBSD 및 macOS를 비롯한 다양한 하드웨어 및 소프트웨어 플랫폼에서 실행할 수 있도록 설계되었습니다. Suricata는 심층 패킷 검사(DPI) 기술을 사용하여 네트워크 트래픽을 분석하도록 설계되었습니다. 멀웨어, 익스플로잇 및 침입 시도를 포함한 광범위한 위협을 탐지할 수 있습니다. 기본 제공 룰 외에도 Suricata는 사용자 지정 룰을 지원하며 다른 보안 도구 및 플랫폼과 통합할 수 있습니다. Suricata는 사이버 위협으로부터 네트워크를 보호해야 하는 모든 규모의 조직에 널리 사용되고 있습니다.


의심스러운 DNS 트래픽 탐지에 대한 룰은 아래와 같이 사용할 수 있습니다.
alert dns any any -> any any (msg:"DNS Query"; dns.question_type == 1; content:"hi.com";)
이 규칙은 도메인 "hi.com"에 대한 DNS 쿼리를 탐지했을 때 경고를 생성합니다. 이것은 C&C 서버와 통신을 시도하는 멀웨어 감염 호스트와 같은 의심스러운 DNS 트래픽을 탐지하는 데 사용될 수 있습니다.

무차별 대입 SSH 로그인 시도 탐지에 대한 룰은 아래와 같이 사용할 수 있습니다.
alert tcp any any -> any 22 (msg:"SSH Brute Force"; flow:to_server,established; threshold:type both,track by_src,count 5,seconds 60; content:"Failed password for";)
이 규칙은 SSH 포트(22)에서 실패한 로그인 시도를 찾고 60초 내에 단일 IP 주소에서 이러한 시도가 5회 이상 발견되었을 경우에 경고를 생성합니다. 이것은 잠재적인 SSH 무차별 대입 공격을 탐지하는 데 사용될 수 있습니다.

HTTP 파일 업로드 탐지에 대한 룰은 아래와 같이 사용할 수 있습니다.
alert http any any -> any any (msg:"File Upload"; filestore; fileext:"exe,jpg,png,gif";)
이 규칙은 확장자가 "exe", "jpg", "png" 또는 "gif"인 파일이 포함되어 HTTP 업로드 요청을 탐지하면 경고를 생성합니다. 이 룰은 웹 서버에 무단으로 파일을 업로드하는 행동을 탐지하는 데 사용될 수 있습니다.

이처럼 다양한 유형의 네트워크 활동을 탐지하는 데 사용할 수 있는 많은 Suricata 규칙이 있습니다.Suricata 규칙을 사용자가 지정하고 결합하여 네트워크 환경의 특정 요구 사항에 맞는 포괄적인 보안 솔루션을 제공할 수 있습니다.