전체 네트워크에서 패킷을 캡처하도록 Suricate를 구성하는 방법은 무엇입니까? Suricate를 이미 구성했지만 Suricata가 설치된 호스트로 보내는 패킷 만 캡처합니다. Suricata가 전체 네트워크 패킷을 캡처하려고합니다. 데이터 및 내부와 같이 Suricata가 내부 네트워크에있는 두 가지 네트워크가 있습니다. 이미 몇 가지 포트를 모니터링하
나는이 작업을 수행하고 있지만 잠재적 인 부작용이 있는지 또는 더 좋은 방법이 있는지 궁금해하고 있습니다. 아래 예는 일반적인 것입니다. 두 개의 컨테이너 (container_1 및 container_2)가있는 도킹 스테이션 작성 파일이 있습니다. container_1은 설치된 서비스를 실행하는 데 사용되는 다양한 구성 파일이 들어있는 볼륨을 노출합니다.
오류를 발생시키기 위해 suricata를 설치 및 구성했습니다. 22 : 18.308560가 [] [1 : 2001219 : 20] ET SCAN 잠재적 인 SSH 스캔 [] [분류 : 시도 그것은 1월 13일 11시 22분 18초 처럼 나에게 201,612,317 1월 13일/2017-11을 오류를 준 정보 누출] [우선 순위 : 2] {TCP} 이 규칙
Suricata를 사용하여 침입 탐지 시스템 (IDS)을 설정하고 있습니다. 가상 컴퓨터에서 로그인 시도가 실패 할 때마다 경고를 생성하는 사용자 지정 규칙을 작성하려고합니다. 예 : 경고 TCP 상관 없음 -> $ HOME_NET 22 (MSG : "SSH 브 루트 포스 시도"; 흐름 : 설립 to_server, 내용 : "SSH"; NOCASE, 오프셋