Перейти к основному содержимому
Версия: 4.3.58

Нормализация событий Suricata IDS/NSM

Плагин позволяет извлекать и приводить к модели события ECS логи Suricata IDS/NSM в формате Eve JSON. Посмотреть, как настроить отправку событий в формате Eve JSON можно по ссылке

Пример лог-события Suricata IDS Eve JSON:

{"timestamp":"2018-10-03T16:45:34.481113+0000","flow_id":116307482565223,"in_iface":"enp0s3","event_type":"alert","src_ip":"192.168.1.146","src_port":32876,"dest_ip":"93.184.216.34","dest_port":80,"proto":"TCP","tx_id":0,"alert":{"action":"allowed","gid":1,"signature_id":2013028,"rev":4,"signature":"ET POLICY curl User-Agent Outbound","category":"Attempted Information Leak","severity":2},"http":{"hostname":"example.org","url":"\/","http_user_agent":"curl\/7.58.0","http_content_type":"text\/html","http_method":"GET","protocol":"HTTP\/1.1","status":200,"length":1121},"app_proto":"http","flow":{"pkts_toserver":4,"pkts_toclient":3,"bytes_toserver":347,"bytes_toclient":1654,"start":"2018-10-03T16:45:34.252519+0000"}}

Настройка включения

processors:
- module: suricata

Полезные плагины

Рекомендуется включать плагин network_direction после применения плагина suricata:

processors:
- module: suricata
- module: network_direction
internal-ip-addresses: [192.168.1.2,192.168.1.3]
internal-ip-prefixes: [172.12.0.0/16]
internal-ip-ranges: [10.0.10.10-10.0.10.25]

Подробнее о настройке и работе network_direction читайте на странице плагина