Suricata framework

 
Suricata es un motor de detección de amenazas de red gratuito, de código abierto, maduro, rápido y robusto.

El motor Suricata es capaz de detección de intrusión en tiempo real (IDS), prevención de intrusión en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento de pcap fuera de línea.

Suricata inspecciona el tráfico de la red utilizando un lenguaje de firmas y reglas poderosas y extensas, y tiene un potente soporte de scripts Lua para la detección de amenazas complejas.

Con formatos de entrada y salida estándar como YAML y JSON, las integraciones con herramientas como SIEMs existentes, Splunk, Logstash / Elasticsearch, Kibana y otras bases de datos se vuelven sin esfuerzo.


El rápido desarrollo impulsado por la comunidad de Suricata se centra en la seguridad, la facilidad de uso y la eficiencia.

El proyecto y el código de Suricata son propiedad y están respaldados por la Open Information Security Foundation (OISF), una fundación sin fines de lucro comprometida a garantizar el desarrollo de Suricata y el éxito sostenido como un proyecto de código abierto.

Características


IDS / IPS

Suricata implementa un lenguaje de firma completo para coincidir con amenazas conocidas, violaciones de políticas y comportamiento malicioso. Suricata también detectará muchas anomalías en el tráfico que inspecciona. Suricata es capaz de usar el conjunto de reglas especializado Emerging Threats Suricata y el conjunto de reglas VRT.

Alto rendimiento

Una única instancia de Suricata es capaz de inspeccionar el tráfico de varios gigabits. El motor se basa en una base de código multiproceso, moderna, limpia y altamente escalable. Existe soporte nativo para la aceleración de hardware de varios proveedores y a través de PF_RING y AF_PACKET.

Detección automática de protocolo

Suricata detectará automáticamente protocolos como HTTP en cualquier puerto y aplicará la lógica de detección y registro adecuada. Esto ayuda enormemente con la búsqueda de programas maliciosos y canales CnC.

NSM: más que un IDS

Suricata puede registrar solicitudes HTTP, registrar y almacenar certificados TLS, extraer archivos de flujos y almacenarlos en el disco. El soporte completo de captura de pcap permite un fácil análisis. Todo esto hace de Suricata un potente motor para su ecosistema de monitoreo de seguridad de red (NSM).

Registro y análisis de TLS / SSL: no solo puede hacer coincidir la mayoría de los aspectos de un intercambio de SSL / TLS dentro del lenguaje de conjunto de reglas gracias al analizador TLS de Suricata, también puede registrar todos los intercambios de claves para su análisis. Es una excelente manera de asegurarse de que su red no sea víctima de una autoridad de certificación con poca reputación.

Registro HTTP: ¿Por qué agregar más hardware a su red solo para registrar la actividad http cuando su IDS ya lo ve? Suricata registrará todas las conexiones HTTP en cualquier puerto para archivar para su posterior análisis.

Lua scripting

Análisis avanzado y funcionalidad disponible para detectar cosas que no son posibles dentro de la sintaxis del conjunto de reglas.

Empresas que respaldan el framework:

  • Fire eye
  • Proof point
  •  Alien Vault
  • ANSSI
  • Counter Flow
  • Cyphort
  • Protect wize
  • Bricata
  • Cylera
  • GreyCortex
  • Indegy
  • Iron Net

 Referencias

"Frameworks para monitoreo, forense y auditoría de tráfico de red - I", Revista.seguridad.unam.mx, 2019. [Online]. Available: https://revista.seguridad.unam.mx/print/2217

https://oisf.net/
https://suricata-ids.org/

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo.
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de trabajo, que constitu
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma
Leer más