Thiago Teixeira
EN | PT

Suricata

OISF

Motor IDS/IPS multi-thread com consciência profunda de protocolos e scripting em Lua.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source Plataforma / Suíte Praticado em Lab Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Suricata é o motor moderno open-source de NIDS/IPS, mantido pela OISF. É compatível com regras Snort, mas adiciona:

  • Captura multi-thread para 10/40/100 GbE.
  • Identificação de protocolo independente da porta.
  • Saída EVE JSON nativa para ELK / Splunk / OpenSearch.
  • Extração de arquivos e hash SHA-256 de cada arquivo.
  • Scripting em Lua para detecções custom.

Casos de uso

  • Detecção perimetral de alta vazão
  • Substituir/complementar sensores Snort legados
  • Geração de hashes de arquivo para cruzar IOCs com MISP

Exemplo

suricata -c /etc/suricata/suricata.yaml -i eth0 --runmode=workers