🛡️

Exploration des fonctionnalités de Suricata

May 7, 2025

Notes sur Suricata

Introduction

  • Présentation d'une playlist dédiée à Suricata
  • Objectif : comprendre comment imbriquer les outils de cybersécurité
  • Importance de s'abonner et de soutenir la chaîne

Qu'est-ce que Suricata ?

  • Outil de cybersécurité, un IDS (Intrusion Detection System)
  • Interagit avec d'autres outils comme Wazuh et OpenSense
  • Nécessité de connaître Suricata car il complète d'autres outils

IDS vs IPS

  • IDS (Intrusion Detection System)

    • Objectif : collecter des informations pour détecter des comportements malveillants
    • Surveille le trafic et signale des comportements suspects

  • IPS (Intrusion Prevention System)

    • Objectif : bloquer les comportements malveillants détectés
    • Action immédiate pour empêcher l'attaquant d'agir

IDPS

  • Combinaison des deux (IDS + IPS)
  • Exemples : Suricata, Wazuh

Network Security Monitoring (NSM)

  • Suricata fournit une vision globale du réseau
  • Capacité à interpréter et analyser le trafic réseau

Historique et développement

  • Suricata développé par l'Open Information Security Foundation (OISF)
  • Outil open source, écrit en C
  • Lancé en 2009, basé sur des outils précédents comme Snort

Compatibilité

  • Fonctionne sur plusieurs systèmes d'exploitation :
    • Linux, FreeBSD, OpenBSD, Windows

Fonctionnalités clés de Suricata

  • Installation :

    • Peut être installé sur des serveurs frontaux ou au sein du réseau (port mirroring)

  • Multi-threading :

    • Permet une analyse rapide et efficace

  • Règles et signatures :

    • Règles : instructions pour analyser les paquets
    • Signatures : identification de types d'attaques spécifiques

  • Intégration avec d'autres outils :

    • Compatible avec Wazuh et OpenSense
    • Permet d'analyser et centraliser les logs

  • Décryptage du trafic SSL/TLS :

    • Analyse du trafic chiffré

Étapes de fonctionnement de Suricata

  1. Capture du trafic : Utilise des bibliothèques comme libpcap
  2. Analyse multi-threadée : Distribue l'analyse des paquets
  3. Défragmentation : Assemble les paquets TCP pour une analyse cohérente
  4. Application des règles : Interprète les règles pour l'analyse
  5. Analyse approfondie : Scrute le contenu des paquets
  6. Actions d'IPS : Optionnel : passer à l'action contre les menaces
  7. Écriture des logs : Format plat ou JSON
  8. Centralisation des logs : Décider de garder localement ou d'envoyer à distance

Conclusion

  • Importance de l'analyse et de l'action après collecte des logs
  • Importance de la ressource humaine pour analyser les logs
  • Lien vers l'analyse de Suricata par l'ANC pour reconnaissance dans la communauté cyber
  • Invitation à s'abonner et soutenir la chaîne

Full transcript