11.1. 使用 Suricata-Update 管理规则¶
虽然可以手动下载和安装规则,但建议使用管理工具来完成此任务。 suricata-update 是官方推荐的更新和管理 Suricata 规则的方式。
suricata-update 随 Suricata 一起分发,通常与其一同安装。如需手动安装说明,请参考 http://suricata-update.readthedocs.io/en/latest/quickstart.html#install-suricata-update
要下载 Emerging Threats Open 规则集,只需运行以下命令:
sudo suricata-update
这将把规则集下载到 /var/lib/suricata/rules/
您需要更新 Suricata 的配置以包含以下规则设置:
default-rule-path: /var/lib/suricata/rules
rule-files:
- suricata.rules
然后(重新)启动 Suricata。
11.1.1. 更新规则¶
要更新规则,只需运行:
sudo suricata-update
建议频繁更新规则。
11.1.2. 使用其他规则集¶
Suricata-Update 还可以访问其他规则集。
要查看可用的规则集,首先从 OISF 主机获取主索引:
sudo suricata-update update-sources
然后列出可用的规则集:
sudo suricata-update list-sources
这将显示类似于以下的结果:
每个规则集都有一个名称,由“供应商”前缀和规则集名称组成。例如,OISF 的 Traffic ID 规则集名为 "oisf/trafficid"。
要启用 "oisf/trafficid",请输入:
sudo suricata-update enable-source oisf/trafficid
sudo suricata-update
现在再次重启 Suricata,OISF TrafficID 规则集中的规则将被加载。
要查看当前启用的规则集,请使用 "list-enabled-sources"。
11.1.3. 控制使用的规则¶
默认情况下,suricata-update 将所有规则合并到一个文件 "/var/lib/suricata/rules/suricata.rules" 中。
要启用默认禁用的规则,请使用 /etc/suricata/enable.conf:
2019401 # 启用具有此 sid 的签名
group:emerging-icmp.rules # 启用此规则文件
re:trojan # 启用包含此字符串的所有规则
类似地,要禁用规则,请使用 /etc/suricata/disable.conf:
2019401 # 禁用具有此 sid 的签名
group:emerging-info.rules # 禁用此规则文件
re:heartbleed # 禁用包含此字符串的所有规则
更新这些文件后,重新运行 suricata-update:
sudo suricata-update
最后,重启 Suricata。