suricata

Documentos > Integraciones > suricata

Supported OS Linux Windows Mac OS

Versión de la integración2.0.0

Suricata: SMB (DCERPC, NTLMSSP, Kerberos)

Suricata: información general

Suricata: alerta

Suricata: anomalía

Suricata: flujo

Suricata: DNS

Suricata: DHCP

Suricata: protocolos de red

Suricata: SMB (DCERPC, NTLMSSP, Kerberos)

Información general

Suricata es un software de análisis de red y detección de amenazas de código abierto y alto rendimiento utilizado por la mayoría de las organizaciones públicas y privadas, e integrado por los principales proveedores para proteger sus activos.

Este integración proporciona enriquecimiento y visualización para tipos de logs Alert, Anomaly, HTTP, DNS, FTP, FTP_DATA, TLS, TFTP, SMB, SSH, Flow, RDP, DHCP y ARP. Ayuda a visualizar información detallada sobre alertas, anomalías, conexiones fr red, DNS y actividad DHCP, así como análisis detallados de protocolos de red en los dashboards predefinidos de la integración.

Configuración

Instalación

Para instalar la integración de Suricata, ejecuta el siguiente comando de instalación del Agent y sigue los pasos que se indican a continuación. Para obtener más información, consulta la documentación de Gestión de integraciones.

Nota: Este paso no es necesario para las versiones del Agent >= 7.57.0.

Para Linux, ejecuta:

sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0

Configuración

Recopilación de logs

La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en el archivo datadog.yaml:
```
logs_enabled: true
```
Añade este bloque de configuración a tu archivo suricata.d/conf.yaml para empezar a recopilar tus logs de Suricata.
Consulta el suricata.d/conf.yaml de ejemplo para conocer las opciones disponibles de configuración.
```
logs:
  - type: file
    path: /var/log/suricata/eve.json
    service: suricata
    source: suricata
```
Nota: Asegúrate de tener habilitado el registro de salida eve-log en el archivo suricata.yaml de la aplicación de Suricata, y de haber abordado los siguientes puntos:
1. En el archivo suricata.yaml, mantén el parámetro filetype como regular en las configuraciones eve-log.
2. La ruta predeterminada de los archivos de salida de Suricata es /var/log/suricata y el nombre de archivo predeterminado es eve.json. Si has cambiado la ruta y el nombre de archivo predeterminados, actualiza el parámetro path en tu archivo conf.yaml en consecuencia.
Reinicia el Agent.

Validación

Ejecuta el subcomando de estado del Agent y busca suricata en la sección Checks.

Datos recopilados

Logs

La integración de Suricata recopila los siguientes tipos de log.

Formato	Tipos de evento
JSON	alert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp

Métricas

La integración de Suricata no incluye ninguna métrica.

Eventos

La integración de Suricata no incluye ningún evento.

Checks de servicio

La integración de Suricata no incluye ningún check de servicio.

Solucionar problemas

Si ves un error de Permission denied (Permiso denegado) durante la monitorización de los archivos de log, debes dar al usuario el permiso de lectura dd-agent sobre ellos.

sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json

Si necesitas más ayuda, ponte en contacto con el soporte de Datadog.