suricata-offline-evejson

Umiejętność do uruchamiania Suricaty w trybie offline na plikach PCAP oraz walidacji wyników poprzez plik eve.json. Zawiera praktyczne polecenia do liczenia alertów, przeglądania identyfikatorów i sygnatur reguł, a także rekomendowany workflow iteracyjny do testowania reguł na danych pozytywnych i negatywnych. Idealna dla osób zajmujących się bezpieczeństwem sieci, którzy chcą szybko iterować nad własnymi regułami detekcji bez konieczności pracy na żywym ruchu.

1. Przygotuj plik PCAP do analizy oraz plik z regułami Suricaty (np. local.rules). Upewnij się, że masz zainstalowaną Suricatę i dostęp do pliku konfiguracyjnego (np. suricata.yaml).

2. Uruchom Suricatę w trybie offline na wybranym pliku PCAP, podając ścieżkę do reguł i katalog wyjściowy dla logów: suricata -c /root/suricata.yaml -S /root/local.rules -k none -r /root/sample.pcap -l /tmp/suri. Flaga -r określa plik PCAP, -S wskazuje plik z regułami, -l to katalog dla wyników (zawierający eve.json), a -k none ignoruje błędy sum kontrolnych.

3. Sprawdź liczbę wykrytych alertów za pomocą polecenia: jq -r 'select(.event_type=="alert") | .alert.signature_id' /tmp/suri/eve.json | wc -l.

4. Wyświetl identyfikatory i nazwy alertów, aby zobaczyć szczegóły: jq -r 'select(.event_type=="alert") | [.alert.signature_id,.alert.signature] | @tsv' /tmp/suri/eve.json.

5. Dla iteracyjnego testowania reguł najpierw waliduj składnię: suricata -T -c /root/suricata.yaml -S /root/local.rules. Następnie uruchom Suricatę na pliku PCAP z ruchem pozytywnym (train_pos.pcap), a potem na pliku z ruchem negatywnym (train_neg.pcap), każdorazowo używając oddzielnego katalogu logów (-l /tmp/suri-pos i -l /tmp/suri-neg). Porównaj wyniki alertów między oboma przebiegami, aby upewnić się, że reguły działają prawidłowo.

6. Zawsze sprawdzaj, czy Suricata zakończyła się bez błędów parsowania reguł, i używaj świeżego katalogu dla każdego uruchomienia, aby uniknąć mieszania logów z różnych testów.