Suricata-Regeln kostenlos beziehen und einbinden

Dieser Artikel zeigt, wie die wichtigsten kostenlosen Regelquellen für Suricata eingebunden werden:

• Emerging Threats Open (Basis-Signaturen)
• Abuse.ch SSLBL (JA3/JA3S Fingerprints gegen Malware)
• OISF TrafficID (Anwendungserkennung)

Installation von suricata-update

• apt update
• apt install suricata-update

Standard-Regeln laden

• suricata-update

Damit wird automatisch das Emerging Threats Open Regelset geladen.

Weitere Quellen aktivieren

• suricata-update enable-source sslbl/ja3-fingerprints
• suricata-update enable-source oisf/trafficid

Regeln aktualisieren

• suricata-update

Regeln einbinden

In der Datei /etc/suricata/suricata.yaml prüfen:

default-rule-path: /var/lib/suricata/rules
rule-files:
  - suricata.rules

Suricata neu starten

• systemctl restart suricata

Kontrolle

• suricata-update list-enabled-sources

Damit sieht man die aktiven Quellen.