7.1. 使用Suricata更新进行规则管理¶
虽然可以手动下载和安装规则,但建议使用管理工具。 suricata-update
是更新和管理Suricata规则的官方方式。
suricata-update
与Suricata捆绑在一起,通常与它一起安装。有关手动安装的说明,请参阅http://suricata update.readthedocs.io/en/latest/quickstart.html安装-suricata更新
注解
suricata-update
与Suricata 4.1及更高版本捆绑在一起。它也可以与旧版本一起使用。在这种情况下,必须单独安装。
要下载新出现的威胁开放规则集,只需运行:
sudo suricata-update
这将把规则集下载到 /var/lib/suricata/rules/
必须更新Suricata的配置才能进行如下规则配置:
default-rule-path: /var/lib/suricata/rules
rule-files:
- suricata.rules
现在(重新)开始测量。
7.1.1. 更新您的规则¶
要更新规则,只需运行
sudo suricata-update
建议您经常更新规则。
7.1.2. 使用其他规则集¶
Suricata更新还可以使其他规则集也可访问。
要查看可用的内容,请从OISF主机获取主索引:
sudo suricata-update update-sources
然后看看有什么可用的:
sudo suricata-update list-sources
这将产生类似于
每个规则集都有一个前缀为“vendor”的名称,后跟一个集名称。例如,iosf的traffic id规则集称为“iosf/trafficid”。
要启用“oisf/trafficid”,请输入:
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
现在重新启动Suricata,并加载来自OSIF TrafficID规则集的规则。
要查看哪些规则集当前处于活动状态,请使用“已启用列表的源”。
7.1.3. 控制使用的规则¶
默认情况下 suricata-update
将所有规则合并到一个文件“/var/lib/suricata/rules”/苏里克塔规则".
要启用默认禁用的规则,请使用 /etc/suricata/enable.conf
2019401 # enable signature with this sid
group:emerging-icmp.rules # enable this rulefile
re:trojan # enable all rules with this string
类似地,要禁用规则,请使用 /etc/suricata/disable.conf :
2019401 # disable signature with this sid
group:emerging-info.rules # disable this rulefile
re:heartbleed # disable all rules with this string
更新这些文件后,重新运行 suricata-update
再一次:
sudo suricata-update
最后重新开始测量。
7.1.4. 进一步阅读¶
请参阅https://suricata-update.readthedocs.io/en/latest/