suricata-rules-basics

Umiejętność obejmująca fundamenty tworzenia sygnatur Suricata i logiki głęboką inspekcję pakietów (DPI) z wieloma warunkami. Dowiesz się, jak konstruować reguły alert z użyciem bufferów protokołu, dopasowywania zawartości i wyrażeń regularnych PCRE. Skill pokazuje anatomię reguł, techniki ograniczania kierunku ruchu za pomocą flow, oraz praktyczne wskazówki dotyczące sticky bufferów HTTP (http.method, http.uri, http.header, http_client_body). Idealna dla osób pracujących nad detektowaniem egzfiltracji danych i anomalii w ruchu sieciowym.

1. Zainstaluj skill suricata-rules-basics w swoim środowisku benchflow-ai, klonując repozytorium z gałęzi main i wskazując ścieżkę do katalogu skills.

2. Zapoznaj się z anatomią reguły alert: każda reguła zawiera identyfikator sid (unikalny numer), rewizję rev, oraz warunki logiczne w nawiasach. Zwróć uwagę na strukturę: protokół, adresy źródłowe/docelowe, porty, a następnie blok warunków.

3. Naucz się używać flow do ograniczenia kierunku ruchu — na przykład flow:established,to_server oznacza połączenie nawiązane, ruch w kierunku serwera. To zapobiega fałszywym alarmom na niezwiązanym ruchu.

4. Opanuj content matching dla stałych sekwencji bajtów oraz dodawaj modyfikatory/buffery zależne od protokołu. Dla HTTP używaj sticky bufferów takich jak http.method (metoda żądania), http.uri (ścieżka), http.header (nagłówki) lub http_client_body (treść żądania).

5. Zastosuj PCRE (wyrażenia regularne) gdy potrzebujesz wzorców bardziej złożonych, na przykład pcre:"/[0-9a-fA-F]{64}/" do dopasowania 64 znaków heksadecymalnych. Łącz PCRE z bufferami, aby zawęzić zakres wyszukiwania.

6. Podczas budowania reguł zacznij od ścisłych warunków (metoda, ścieżka, nagłówek), a następnie dodaj sprawdzenia treści. Unikaj zbyt ogólnych reguł, które mogą alertować na niezwiązany ruch — zachowaj msg konkretny i czytelny.