7.1. 使用Suricata更新进行规则管理

虽然可以手动下载和安装规则,但建议使用管理工具。 suricata-update 是更新和管理Suricata规则的官方方式。

suricata-update 与Suricata捆绑在一起,通常与它一起安装。有关手动安装的说明,请参阅http://suricata update.readthedocs.io/en/latest/quickstart.html安装-suricata更新

注解

suricata-update 与Suricata 4.1及更高版本捆绑在一起。它也可以与旧版本一起使用。在这种情况下,必须单独安装。

要下载新出现的威胁开放规则集,只需运行:

sudo suricata-update

这将把规则集下载到 /var/lib/suricata/rules/

必须更新Suricata的配置才能进行如下规则配置:

default-rule-path: /var/lib/suricata/rules
rule-files:
  - suricata.rules

现在(重新)开始测量。

7.1.1. 更新您的规则

要更新规则,只需运行

sudo suricata-update

建议您经常更新规则。

7.1.2. 使用其他规则集

Suricata更新还可以使其他规则集也可访问。

要查看可用的内容,请从OISF主机获取主索引:

sudo suricata-update update-sources

然后看看有什么可用的:

sudo suricata-update list-sources

这将产生类似于

../_images/suricata-update.png

每个规则集都有一个前缀为“vendor”的名称,后跟一个集名称。例如,iosf的traffic id规则集称为“iosf/trafficid”。

要启用“oisf/trafficid”,请输入:

sudo suricata-update enable-source oisf/trafficid
sudo suricata-update

现在重新启动Suricata,并加载来自OSIF TrafficID规则集的规则。

要查看哪些规则集当前处于活动状态,请使用“已启用列表的源”。

7.1.3. 控制使用的规则

默认情况下 suricata-update 将所有规则合并到一个文件“/var/lib/suricata/rules”/苏里克塔规则".

要启用默认禁用的规则,请使用 /etc/suricata/enable.conf

2019401                   # enable signature with this sid
group:emerging-icmp.rules # enable this rulefile
re:trojan                 # enable all rules with this string

类似地,要禁用规则,请使用 /etc/suricata/disable.conf

2019401                   # disable signature with this sid
group:emerging-info.rules # disable this rulefile
re:heartbleed             # disable all rules with this string

更新这些文件后,重新运行 suricata-update 再一次:

sudo suricata-update

最后重新开始测量。

7.1.4. 进一步阅读

请参阅https://suricata-update.readthedocs.io/en/latest/