【简介】

数据包捕获是一个重要组件，可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。 我们可以借助开源 IDS 工具来处理数据包捕获，并检查潜在网络入侵和恶意活动的签名。 使用网络观察程序提供的数据包捕获，可以分析网络中是否存在任何有害入侵或漏洞，Suricata 就是这样的一种开源工具，它是一个 IDS 引擎，可使用规则集来监视网络流量，每当出现可疑事件时，它会触发警报。 Suricata 提供多线程引擎，意味着它能够以更高的速度和效率执行网络流量分析，在本文中将会介绍到如何在 Azure VM 中使用Suricata来对网络进行入侵检测，同时并根据Suricata中给定的威胁规则匹配的数据包出发报警，以此达到实时安全威胁监测。

【操作步骤】

一.创建Azure VM Ubuntu

1.配置基本的Azure VM信息（包括订阅、资源组、实例详细信息，管理员账号及入站端口规则），具体配置如下所示：

2.配置磁盘信息（配置相关磁盘类型及加密类型）具体配置如下所示：

3.配置网络接口信息（虚拟网络、子网、公网IP、公共出入站端口等）具体配置如下所示：

4.配置监视和管理

5.查看并创建虚拟机

6.部署完成以后，可点击直接“转到资源”

7.如下图所示可以看到虚拟机资源管理页面

二.远程连接Azure VM Ubuntu

1.使用SSH远程连接命令连接到Azure VM 中，具体操作步骤如下所示：

三.下载安装 Suricata

1.使用Apt命令下载Suricata

sudo add-apt-repository ppa:oisf/suricata-stable

2.使用apt update 的命令进行更新

sudo apt update

3.使用apt install 安装suricata jq

sudo apt install suricata jq

安装过程如下图所示：

4.安装完成后，使用sudo suricata --build-info命令来看Suricata 版本

sudo suricata --build-info

具体版本信息如下图所示

四.Suricata基本配置

1.使用Ip a 命令 检查 Suricata 在哪个接口上运行以及该接口的 IP，具体如下所示

2.查看suricata.yaml配置文件

suricata.yaml配置文件里很多的配置项目，我们主要关注HOME_NET变量的设置和网络接口的配置及Af-packet配置，如下是Af-packet配置详情

四.下载 Emerging Threats 规则集

1.目前，我们尚未创建运行 Suricata 所需的任何规则。 如果想要检测特定的网络威胁，可以创建自己的规则，本文使用可免费访问的 Emerging Threats 规则集，如下图所示，我们使用如下命令下载该规则集

wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz

2.下载完毕以后对其tar.gz文件进行解压缩

3.解压缩完毕以后，并将其复制到目录rules中

4.如下图是下载解压并复制到rules目录中文件

五.使用 Suricata 处理数据包捕获

1.安装规则后，Suricata 可以正常运行，我们对其进行重新启动下：

sudo systemctl restart suricata

2.我们执行如下命令，来对suricata的日志进行滚轮触发

sudo tail -f /var/log/suricata/fast.log

3. 我们在服务器中使用Curl 命令请求下地址进行验证

curl http://testmyids.com/
curl http://www.baidu.com/

4.如下图所示，我们在日志中看到以下包括时间戳和系统的 IP的访问记录输出

六.结语

届时我们已经完成了在Azure VM 中快速搭建网络入侵检测 (IDS) 及网络安全监视 (NSM)实践操作，接下来，我们可以全面使用Suricata来对网络进行入侵检测，同时并根据Suricata中给定的威胁规则匹配的数据包出发报警，以此达到实时安全威胁监测！