使用 Suricata-Update 管理规则 ==================================== 虽然可以手动下载和安装规则,但建议使用管理工具来完成此任务。 ``suricata-update`` 是官方推荐的更新和管理 Suricata 规则的方式。 ``suricata-update`` 随 Suricata 一起分发,通常与其一同安装。如需手动安装说明,请参考 http://suricata-update.readthedocs.io/en/latest/quickstart.html#install-suricata-update .. 注意:: 从 Suricata 4.1 版本开始, ``suricata-update`` 已内置。它也可用于旧版本,但在这种情况下需要单独安装。 要下载 Emerging Threats Open 规则集,只需运行以下命令: :: sudo suricata-update 这将把规则集下载到 `/var/lib/suricata/rules/` 您需要更新 Suricata 的配置以包含以下规则设置: :: default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules 然后(重新)启动 Suricata。 更新规则 ~~~~~~~~~~~~~~~~~~~ 要更新规则,只需运行: :: sudo suricata-update 建议频繁更新规则。 使用其他规则集 ~~~~~~~~~~~~~~~~~~~~ Suricata-Update 还可以访问其他规则集。 要查看可用的规则集,首先从 OISF 主机获取主索引: :: sudo suricata-update update-sources 然后列出可用的规则集: :: sudo suricata-update list-sources 这将显示类似于以下的结果: .. image:: suricata-update/suricata-update.png 每个规则集都有一个名称,由“供应商”前缀和规则集名称组成。例如,OISF 的 Traffic ID 规则集名为 "oisf/trafficid"。 要启用 "oisf/trafficid",请输入: :: sudo suricata-update enable-source oisf/trafficid sudo suricata-update 现在再次重启 Suricata,OISF TrafficID 规则集中的规则将被加载。 要查看当前启用的规则集,请使用 "list-enabled-sources"。 控制使用的规则 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 默认情况下,``suricata-update`` 将所有规则合并到一个文件 "/var/lib/suricata/rules/suricata.rules" 中。 要启用默认禁用的规则,请使用 `/etc/suricata/enable.conf`: :: 2019401 # 启用具有此 sid 的签名 group:emerging-icmp.rules # 启用此规则文件 re:trojan # 启用包含此字符串的所有规则 类似地,要禁用规则,请使用 `/etc/suricata/disable.conf`: :: 2019401 # 禁用具有此 sid 的签名 group:emerging-info.rules # 禁用此规则文件 re:heartbleed # 禁用包含此字符串的所有规则 更新这些文件后,重新运行 ``suricata-update``: :: sudo suricata-update 最后,重启 Suricata。 进一步阅读 ~~~~~~~~~~~~~~~ 参见 https://suricata-update.readthedocs.io/en/latest/