• ベストアンサー

suricata.yamlの設定方法

こんにちは、お世話になります。 suricataというIPS防御ソフトを使ってみたいのですが、 suricata.yamlの設定ファイルの設定方法が解りません。 因みにIPSmodeで設定したいのですが宜しければご教示お願いします。 使用OSはwindows11です、最新版をインストールしました。 %YAML 1.1 --- # Suricata configuration file. In addition to the comments describing all # options in this file, full documentation can be found at: # https://docs.suricata.io/en/latest/configuration/suricata-yaml.html # This configuration file generated by Suricata 7.0.0. suricata-version: "7.0" ## ## Step 1: Inform Suricata about your network ## vars: # more specific is better for alert accuracy and performance address-groups: HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" #HOME_NET: "[192.168.0.0/16]" #HOME_NET: "[10.0.0.0/8]" #HOME_NET: "[172.16.0.0/12]" #HOME_NET: "any" EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any" HTTP_SERVERS: "$HOME_NET" SMTP_SERVERS: "$HOME_NET" SQL_SERVERS: "$HOME_NET" DNS_SERVERS: "$HOME_NET" TELNET_SERVERS: "$HOME_NET" AIM_SERVERS: "$EXTERNAL_NET" DC_SERVERS: "$HOME_NET" DNP3_SERVER: "$HOME_NET" DNP3_CLIENT: "$HOME_NET" MODBUS_CLIENT: "$HOME_NET" MODBUS_SERVER: "$HOME_NET" ENIP_CLIENT: "$HOME_NET" ENIP_SERVER: "$HOME_NET" port-groups: HTTP_PORTS: "80" SHELLCODE_PORTS: "!80" ORACLE_PORTS: 1521 SSH_PORTS: 22 DNP3_PORTS: 20000 MODBUS_PORTS: 502 FILE_DATA_PORTS: "[$HTTP_PORTS,110,143]" FTP_PORTS: 21 GENEVE_PORTS: 6081 VXLAN_PORTS: 4789 TEREDO_PORTS: 3544 ## ## Step 2: Select outputs to enable ## # The default logging directory. Any log or output file will be # placed here if it's not specified with a full path name. This can be # overridden with the -l command line parameter. default-log-dir: C:\\Program Files\\Suricata\\log # Global stats configuration stats: enabled: yes # The interval field (in seconds) controls the interval at # which stats are updated in the log. interval: 8 # Add decode events to stats. #decoder-events: true # Decoder event prefix in stats. Has been 'decoder' before, but that leads # to missing events in the eve.stats records. See issue #2225. #decoder-events-prefix: "decoder.event" # Add stream events as stats. #stream-events: false # Plugins -- Experimental -- specify the filename for each plugin shared object plugins: # - /path/to/plugin.so # Configure the type of alert (and other) logging you would like. outputs: # a line based alerts log similar to Snort's fast.log - fast: enabled: yes filename: fast.log append: yes #filetype: regular # 'regular', 'unix_stream' or 'unix_dgram' # Extensible Event Format (nicknamed EVE) event log in JSON format - eve-log: enabled: yes filetype: regular #regular|syslog|unix_dgram|unix_stream|redis filename: eve.json # Enable for multi-threaded eve.json output; output files are amended with # an identifier, e.g., eve.9.json #threaded: false #prefix: "@cee: " # prefix to prepend to each log entry # the following are valid when type: syslog above #identity: "suricata" #facility: local5 #level: Info ## possible levels: Emergency, Alert, Critical, ## Error, Warning, Notice, Info, Debug #ethernet: no # log ethernet header in events when available #redis: # server: 127.0.0.1 # port: 6379 # async: true ## if redis replies are read asynchronously # mode: list ## possible values: list|lpush (default), rpush, channel|publish # ## lpush and rpush are using a Redis list. "list" is an alias for lpush # ## publish is using a Redis channel. "channel" is an alias for publish # key: suricata ## key or channel to use (default to suricata) # Redis pipelining set up. This will enable to only do a query every # 'batch-size' events. This should lower the latency induced by network # connection at the cost of some memory. There is n

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

こんにちは。Suricataの設定に取り組んでいるのですね。Windows 11で最新版のSuricataを使い、IPSmode(インラインモード)での設定を希望されているとのことですので、その設定方法について簡単にご案内いたします。 まず、Suricataはネットワーク監視と侵入防止に非常に有効なツールですが、設定にはいくつかのステップがあります。以下に、`suricata.yaml`の主要な設定方法を書きます。 ### Step 1: Network Variables ネットワークの変数設定は既にされているようですが、自身の環境に応じて`HOME_NET`や`EXTERNAL_NET`の値を適切に設定してください。 ```yaml vars: address-groups: HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" EXTERNAL_NET: "!$HOME_NET" ``` ### Step 2: Output Configuration ログの出力設定も大切です。Eveログなどが適切に設定されているか確認してください。 ```yaml outputs: - fast: enabled: yes filename: fast.log append: yes - eve-log: enabled: yes filetype: regular filename: eve.json ``` ### Step 3: Enabling IPS Mode 次に、IPSモードを有効にするためには、インタフェースでのインラインモードを設定する必要があります。Windows環境でインラインモードを設定するには、以下の手順に従ってください。 #### Interface Configuration NIC(ネットワークインタフェースカード)をインラインモードに設定するには、以下のコマンドを使用します。 ```yaml af-packet: - interface: <Your-NIC-Name> threads: 12 cluster-id: 99 cluster-type: cluster_flow defrag: yes use-mmap: yes ring-size: 200000 buffer-size: 32768 checksum-checks: no tpacket-v3: yes ``` 例えば、 `<Your-NIC-Name>` を適切なインタフェース名に置き換えてください。インタフェース名は`ipconfig`コマンドを用いて確認できます。 ### Step 4: Running Suricata 設定を保存した後、管理者権限でコマンドプロンプトを開き、以下のコマンドを実行してSuricataを起動します。 ```shell suricata -c C:\Path\To\suricata.yaml -i <Your-NIC-Name> --af-packet ``` これで、Suricataがインラインモードで動作を開始します。 ### 注意点 - 設定ファイルを編集する際は、必ずバックアップを取り、何か問題が発生した場合に元に戻せるようにしておきましょう。 - Windowsのファイアウォール設定が影響する場合がありますので、必要に応じて設定を確認、適用してください。 もし、追加の設定や質問があれば遠慮なくお知らせください。安全なネットワーク運用をお祈りしています。 ------------------------------------------------ こちらの回答はAIエージェント「あい」による参考回答です。 有識者からの回答も是非お待ちしています。 OKWAVEのAIに対する取り組みについてはこちらをご確認ください。 https://staffblog.okwave.jp/2023/06/07/10415/

HereWeGo555
質問者

お礼

回答ありがとうございます。 結局の所上手くはいきませんでしたが、次回の質問かいつになるかは解りませんが、また回答の方頂けると嬉しいです。 個人的には大変いつもお世話になっているのでまたのご活躍を願っています、応援しています。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. セキュリティ対策

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する