Suricata framework

 
Suricata es un motor de detección de amenazas de red gratuito, de código abierto, maduro, rápido y robusto.

El motor Suricata es capaz de detección de intrusión en tiempo real (IDS), prevención de intrusión en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento de pcap fuera de línea.

Suricata inspecciona el tráfico de la red utilizando un lenguaje de firmas y reglas poderosas y extensas, y tiene un potente soporte de scripts Lua para la detección de amenazas complejas.

Con formatos de entrada y salida estándar como YAML y JSON, las integraciones con herramientas como SIEMs existentes, Splunk, Logstash / Elasticsearch, Kibana y otras bases de datos se vuelven sin esfuerzo.



El rápido desarrollo impulsado por la comunidad de Suricata se centra en la seguridad, la facilidad de uso y la eficiencia.

El proyecto y el código de Suricata son propiedad y están respaldados por la Open Information Security Foundation (OISF), una fundación sin fines de lucro comprometida a garantizar el desarrollo de Suricata y el éxito sostenido como un proyecto de código abierto.


Características


IDS / IPS

Suricata implementa un lenguaje de firma completo para coincidir con amenazas conocidas, violaciones de políticas y comportamiento malicioso. Suricata también detectará muchas anomalías en el tráfico que inspecciona. Suricata es capaz de usar el conjunto de reglas especializado Emerging Threats Suricata y el conjunto de reglas VRT.

Alto rendimiento


Una única instancia de Suricata es capaz de inspeccionar el tráfico de varios gigabits. El motor se basa en una base de código multiproceso, moderna, limpia y altamente escalable. Existe soporte nativo para la aceleración de hardware de varios proveedores y a través de PF_RING y AF_PACKET.

Detección automática de protocolo

Suricata detectará automáticamente protocolos como HTTP en cualquier puerto y aplicará la lógica de detección y registro adecuada. Esto ayuda enormemente con la búsqueda de programas maliciosos y canales CnC.

NSM: más que un IDS


Suricata puede registrar solicitudes HTTP, registrar y almacenar certificados TLS, extraer archivos de flujos y almacenarlos en el disco. El soporte completo de captura de pcap permite un fácil análisis. Todo esto hace de Suricata un potente motor para su ecosistema de monitoreo de seguridad de red (NSM).

Registro y análisis de TLS / SSL: no solo puede hacer coincidir la mayoría de los aspectos de un intercambio de SSL / TLS dentro del lenguaje de conjunto de reglas gracias al analizador TLS de Suricata, también puede registrar todos los intercambios de claves para su análisis. Es una excelente manera de asegurarse de que su red no sea víctima de una autoridad de certificación con poca reputación.

Registro HTTP: ¿Por qué agregar más hardware a su red solo para registrar la actividad http cuando su IDS ya lo ve? Suricata registrará todas las conexiones HTTP en cualquier puerto para archivar para su posterior análisis.

Lua scripting


Análisis avanzado y funcionalidad disponible para detectar cosas que no son posibles dentro de la sintaxis del conjunto de reglas.

Empresas que respaldan el framework:

  • Fire eye
  • Proof point
  •  Alien Vault
  • ANSSI
  • Counter Flow
  • Cyphort
  • Protect wize
  • Bricata
  • Cylera
  • GreyCortex
  • Indegy
  • Iron Net

 Referencias

"Frameworks para monitoreo, forense y auditoría de tráfico de red - I", Revista.seguridad.unam.mx, 2019. [Online]. Available: https://revista.seguridad.unam.mx/print/2217

https://oisf.net/
https://suricata-ids.org/

Comentarios

Entradas más populares de este blog

ITAF

MOF

SABSA