suricata

Supported OS Linux Windows Mac OS

통합 버전2.0.0

개요

Suricata는 민간 및 공공 기관 대부분이 사용하는 고성능 개방형 소스 네트워크 분석 및 위협 탐지 소프트웨어로, 주요 공급업체가 자산을 보호할 목적으로 제품에 내장합니다.

본 통합은 알림, 이상, HTTP, DNS, FTP, FTP_DATA, TLS, TFTP, SMB, SSH, Flow, RDP, DHCP, ARP 로그 유형에 보강 및 시각화 기능을 제공합니다. 통합 기본 제공 대시보드에서 알림, 이상, 네트워크 연결, DNS, DHCP 활동에 관한 자세한 인사이트와 상세한 네트워크 프로토콜 분석을 시각화할 수 있습니다.

설정

설치

Suricata 통합을 설치하려면 다음 Agent 설치 명령을 실행하고 아래 단계를 따릅니다. 자세한 내용은 통합 관리 문서를 참조하세요.

참고: Agent 버전 7.57.0 이상에서는 이 단계가 필요하지 않습니다.

Linux의 경우 다음을 실행합니다.

sudo -u dd-agent -- datadog-agent integration install datadog-suricata==1.0.0

설정

로그 수집

  1. Datadog 에이전트에서 로그 수집은 기본적으로 비활성화되어 있으므로 datadog.yaml 파일에서 활성화합니다.

    logs_enabled: true
    
  2. 이 설정 블록을 suricata.d/conf.yaml 파일에 추가하여 Suricata 로그 수집을 시작하세요.

    사용 가능한 모든 설정 옵션은 suricata.d/conf.yaml 샘플을 참조하세요.

    logs:
      - type: file
        path: /var/log/suricata/eve.json
        service: suricata
        source: suricata
    

    참고: Suricata 애플리케이션 suricata.yaml 파일에서 eve-log 출력 로깅을 활성화하고 아래 항목을 처리했는지 확인하세요.

    1. suricata.yaml 파일에서, filetype 파라미터를 eve-log 구성에서 regular로 유지합니다.
    2. Suricata 출력 파일의 기본 경로는 /var/log/suricata, 기본 파일 이름은 eve.json입니다. 기본 경로와 파일 이름을 변경한 경우 conf.yaml 파일의 path 파라미터를 알맞게 업데이트하세요.
  3. Agent를 재시작합니다.

검증

Agent의 상태 하위 명령을 실행하고 Checks 섹션에서 suricata를 찾습니다.

수집한 데이터

로그

Suricata 통합은 다음 로그 유형을 수집합니다.

형식이벤트 유형
JSONalert, anomaly, http, dns, ftp, ftp_data, tls. tftp, smb, ssh, flow, rdp, dhcp, arp

메트릭

Suricata 통합은 메트릭을 포함하지 않습니다.

이벤트

Suricata 통합은 이벤트를 포함하지 않습니다.

서비스 점검

Suricata 통합은 서비스 점검을 포함하지 않습니다.

트러블슈팅

로그 파일을 모니터링하는 동안 권한 거부 오류가 표시되면 dd-agent 사용자에게 해당 파일 읽기 권한을 부여합니다.

sudo chown -R dd-agent:dd-agent /var/log/suricata/eve.json

추가로 도움이 필요하면 Datadog 지원 팀에 문의하세요.