🛡️

Présentation de Suricata en Cybersécurité

May 7, 2025

Notes de la Présentation sur Suricata

Introduction

  • Présentation de Suricata et de son utilité dans la cybersécurité.
  • Importance d'intégrer les outils de cybersécurité dans un ensemble cohérent.

Qu'est-ce que Suricata ?

  • Outil de cybersécurité connu, développé en open source.
  • Interagit avec d'autres outils comme Wazuh et Open Sense.

Fonctionnalités Principales

  • IDS (Intrusion Detection System)
    • Collecte d'informations pour détecter des comportements malveillants.
    • Se distingue de l'IPS (Intrusion Prevention System) qui bloque activement les menaces.
  • NSM (Network Security Monitoring)
    • Vision globale du trafic réseau.

Historique

  • Développé depuis 2007.
  • Outils précédents incluent Snort.
  • Soutenu par l'Open Information Security Foundation (OISF).

Compatibilité

  • Fonctionne sur plusieurs systèmes d'exploitation :
    • Linux, FreeBSD, OpenBSD, Windows.

Installation et Configuration

  • Peut être installé sur des serveurs frontaux ou à différents points du réseau.
  • Utilisation du port mirroring pour analyser le trafic sans ajouter de latence.

Performances et Caractéristiques Techniques

  • Passé en multithreading, permet une analyse plus rapide.
  • Capacité à décrypter le trafic SSL/TLS.

Règles et Signatures

  • Règles : Instructions pour analyser les paquets.
  • Signatures : Identifient des types d'attaques spécifiques.

Intégration avec d'autres Outils

  • Peut être intégré avec des SIEM comme Wazuh pour une analyse globale des logs.
  • Prise en charge du format JSON pour faciliter l'intégration.

Étapes de Fonctionnement de Suricata

  1. Capture du trafic
    • Utilisation de bibliothèques comme libpcap ou WinPcap.
  2. Analyse Multithreading
    • Distribution de l'analyse des paquets.
  3. Défragmentation
    • Réassemblage des paquets pour une interprétation cohérente.
  4. Application des règles
    • Interprétation des règles pour détecter des menaces.
  5. Analyse du corps des paquets
    • Analyse approfondie des données.
  6. Actions préventives
    • Possibilité de bloquer les attaques.
  7. Écriture des logs
    • Logs au format JSON.
  8. Centralisation des logs
    • Nécessité d'une analyse active des logs centralisés.

Conclusion

  • Importance de ne pas seulement collecter des logs, mais d'agir sur les résultats pour une réponse efficace aux menaces.
  • Rappel de l'importance de l'outil dans la communauté de cybersécurité.

Liens Utiles

  • Site web de Suricata : sucata.ao
  • Documentation et mises à jour sur GitHub.

Full transcript