安全防护之路丨Suricata联动ELK威胁检测
2023-5-18 19:0:3 Author: FreeBuf(查看原文) 阅读量:21 收藏

前言

Suricata是一种网络流量识别工具,它使用社区创建的和用户定义的signatures签名集(规则)来检查和处理网络流量,当检测到可疑数据包时,Suricata 可以触发警报。

默认情况下,Suricata会把软件日志存放在/var/log/suricata,以下是基本的介绍:

eve.json:Suricata 最详细和最有用的日志文件之一。eve.json 日志格式为 JSON,记录所有安装的检测引擎和其他模块所生成的事件信息,如警报、HTTP 请求/响应、TLS 握手和 SSH 握手等。每个事件都包含重要的元信息,如时间戳、来自哪个接口的流量、事件类型、源/目标 IP 和端口、协议和应用程序信息等。
eve.log:与eve.json相同,但格式为单行文本格式,而不是 JSON。如果将 Suricata 其他日志聚合系统集成,则该格式可能更方便些。
fast.log:是一个简单的文本格式文件,包含了有关网络流量中服务请求和响应的基本信息,如协议、端口、源/目标地址和事件计数等信息。这使得fast.log不像eve.json一样详细,但可以在大量流量时提供轻量级的性能提升。
stats.log:包含与 Suricata 本身的统计信息相关的数据,如 CPU 利用率、内存使用情况以及处理的数据包数和流量量等信息,通常用于监控 Suricata 本身的性能和健康状况。

本文的目标就是把Suricata产生的eve日志导入到es里,使用kibana进行可视化展示,快速搜索、查询、分析。

基础配置


这次的实际环境中,我们使用双网卡服务器部署 Suricata ,然后配置核心交换机的网络流量端口镜像到Suricata服务器的网卡上,来进行流量检测。

配置需求:检查的流量越多,需要分配给 Suricata 的资源就越多。

这里计划使用4核CPU 和16GB 的内存,硬盘1T。

准备一台双网卡的机器,一块网卡用于提供Web服务和后台管理,一块网卡用于开启混杂模式收集流量进行监测。

配置监听网卡混杂模式
ifconfig//执行查看网卡名称和MAC地址,结合MAC地址确定监听哪块网卡ifconfig ens224 promisc//选择要用于监听的网卡,然再次次执行检查


如上图,这里准备使用ens224网卡进行流量监听。然后,找网络管理运维大哥告诉他网卡Mac地址,让他帮你开启流量镜像到你的监听网卡上。

然后,使用一个小工具测试一下配置结果。

yum install dstat -y//安装dstatdstat -tnf//查看两个网卡的进出流量大小,根据数值评估是否开启成功

如上图,这里看到ens224网卡上每秒接收了大约12MB的流量,这可以证明我们上面的配置有效。

配置Suricata

编辑 Suricata 的配置,更改网卡名称,配置监听我们的流量端口镜像的网卡。/etc/suricata/suricata.yaml详情请查看上一篇文章
# Linux high speed capture supportaf-packet:  - interface: ens224    # Number of receive threads. "auto" uses the number of cores    #threads: auto    # Default clusterid. AF_PACKET will load balance packets based on flow.
cluster-id: 99

(向右滑动,查看更多)

elastic stack配置

为了保证环境一致性和稳定性,这里使用docker部署最新的elastic stack 8.7,首先拉取镜像,创建docker内部网络。
docker pull docker.elastic.co/elasticsearch/elasticsearch:8.7.0docker network create elasticdocker pull docker.elastic.co/kibana/kibana:8.7.0

(向右滑动,查看更多)

启动es,并将eve.json挂载到docker 容器内部。

docker run --name es-node01 --net elastic -d -v /var/log/suricata/eve.json:/var/log/suricata/eve.json -p 9200:9200 -p 9300:9300 -t docker.elastic.co/elasticsearch/elasticsearch:8.7.0

(向右滑动,查看更多)

启动kibana

docker run --name kib-01 --net elastic -d -p 5601:5601 docker.elastic.co/kibana/kibana:8.7.0

(向右滑动,查看更多)

访问管理网卡的ipyour_ip:5601(https),这里需要一个安全token。

以前的Elasticsearch 配置没有启用任何身份验证。经常有数据泄露问题。最新的es8.0已经默认开启xpack了,配置起来繁琐一些,但是安全性已经大大提高了。



宿主机执行:docker exec -it es-node01 /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana,将回显填入,点击configure elastic


然后需要输入一个6位验证码,宿主机执行docker logs kib-01将回显填入。


然后提示账号密码

宿主机执行docker exec -it es-node01 /usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic获得账号密码,这个需要记住。

登录后进入kibana。

Suricata联动es

点击添加数据

搜索Suricata

这里不用改

添加agent,选择Run standalone,将第一步中的一大段配置文件内容修改后复制留存

hosts:      - 'https://127.0.0.1:9200' //修改为[本机:9200]    ssl.ca_trusted_fingerprint: '7****************************3'//这行不动    username: 'elastic'//修改为上面获取的账号    password: 'Gxq*************qeaI' ////修改为上面获取的密码

(向右滑动,查看更多)

在宿主机按照要求执行

curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.7.0-x86_64.rpmsudo rpm -vi elastic-agent-8.7.0-x86_64.rpm sudo systemctl enable elastic-agent sudo systemctl start elastic-agent

(向右滑动,查看更多)

将原本的vim /etc/elastic-agent/elastic-agent.yml备份,将上面复制的配置文件内容全部写入保存。

systemctl restart elastic-agent #重启systemctl status elastic-agent #查看运行状态

(向右滑动,查看更多)

然后在kibana搜索suricata查看dashboard

然后就配置完成,如果数据很少可能是网络流量小,agent需要时间传输日志进es等原因。



后续,我们将探讨如何优化 Suricata 规则,添加外围告警,绘制信息密度更高的 dashboard 等内容。

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651224750&idx=3&sn=047e90f291b67cc92df69c292dfa9fdc&chksm=bd1de8258a6a6133583556e5fc21f600507706717c61c162142b1ebc8f0cb41a475ba58a114e#rd
如有侵权请联系:admin#unsafe.sh