Suricata
Qu'est-ce que Suricata ?
SuricataMoteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF).
Suricata est un moteur de securite reseau open source multithread, publie en 2010 et developpe par l'Open Information Security Foundation (OISF). Il prend en charge la detection d'intrusion (IDS), la prevention en ligne (IPS) et la supervision de securite reseau (NSM) avancee, produisant des logs EVE JSON, des metadonnees de protocoles (HTTP, TLS, DNS, SMB, Kerberos) et des fichiers extraits. Suricata comprend les regles compatibles Snort ainsi que ses propres mots-cles (Lua, datasets, ja3, ja4) et permet de reutiliser des jeux comme ET Open ou Talos. Il est largement deploye en sortie Internet, en TAP cloud et dans les flottes de sondes SOC, souvent aux cotes de Zeek pour un decodage protocolaire enrichi.
● Exemples
- 01
Faire tourner Suricata en mode IPS inline sur un pare-feu perimetrique pour bloquer du trafic correspondant aux regles ET Open.
- 02
Envoyer les logs EVE JSON de Suricata vers un SIEM pour correlation avec la telemetrie endpoint.
● Questions fréquentes
Qu'est-ce que Suricata ?
Moteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF). Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Suricata ?
Moteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF).
Comment fonctionne Suricata ?
Suricata est un moteur de securite reseau open source multithread, publie en 2010 et developpe par l'Open Information Security Foundation (OISF). Il prend en charge la detection d'intrusion (IDS), la prevention en ligne (IPS) et la supervision de securite reseau (NSM) avancee, produisant des logs EVE JSON, des metadonnees de protocoles (HTTP, TLS, DNS, SMB, Kerberos) et des fichiers extraits. Suricata comprend les regles compatibles Snort ainsi que ses propres mots-cles (Lua, datasets, ja3, ja4) et permet de reutiliser des jeux comme ET Open ou Talos. Il est largement deploye en sortie Internet, en TAP cloud et dans les flottes de sondes SOC, souvent aux cotes de Zeek pour un decodage protocolaire enrichi.
Comment se défendre contre Suricata ?
Les défenses contre Suricata combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Suricata ?
Noms alternatifs courants : Suricata IDS, Suricata IPS.
● Termes liés
- network-security№ 547
Système de détection d'intrusion (IDS)
Contrôle de sécurité passif qui surveille l'activité réseau ou hôte à la recherche de comportements malveillants et émet des alertes sans bloquer le trafic.
- network-security№ 548
Système de prévention d'intrusion (IPS)
Contrôle de sécurité en coupure qui détecte le trafic malveillant et le bloque, réinitialise ou nettoie activement en temps réel.
- defense-ops№ 1061
Regle Snort
Signature ecrite dans le langage de regles Snort qui decrit des motifs de trafic reseau a alerter ou bloquer en mode IDS ou IPS.
- defense-ops№ 1261
Zeek
Moniteur de securite reseau open source (anciennement Bro) qui transforme le trafic en logs structures et conscients des protocoles, exploitables via un langage de script.
- network-security№ 295
Inspection approfondie des paquets (DPI)
Technique d'inspection qui examine la totalité de la charge utile des paquets, pas seulement leurs en-têtes, pour identifier applications, contenus et menaces.
- network-security№ 724
IDS basé réseau (NIDS)
Capteur de détection d'intrusion qui inspecte le trafic capturé sur un segment réseau pour identifier des motifs malveillants et des violations de politique.
● Voir aussi
- № 1245Wireshark
- № 997Security Onion