Hướng dẫn cài đặt Suricata trên máy chủ Ubuntu 20.04

Suricata là một công cụ giám sát an ninh mạng (NSM-Network Security Monitoring), sử dụng các bộ chữ ký do cộng đồng và người dùng xác định (hay rule) để kiểm tra và xử lý lưu lượng truy cập. Trong bài viết này, Vietnix sẽ hướng dẫn bạn thực hiện cài đặt Suricata trên Ubuntu 20.04.

Giới thiệu về Suricata

Suricata có thể kiểm tra lịch sử đăng nhập, kích hoạt cảnh báo và chặn (drop) lưu lượng truy cập khi phát hiện các package hoặc yêu cầu khả nghi từ bất kì dịch vụ nào đang hoạt động trên máy chủ.

Mặc định Suricata hoạt động như một hệ thống phát hiện xâm nhập thụ động (Intrusion Detection System – IDS) để quét lưu lượng truy cập khả nghi trên máy chủ hoặc mạng bằng cách tạo và ghi lại các cảnh báo. Suricata cũng có thể cấu hình như một hệ thống ngăn chặn xâm nhập chủ động (Intrusion Prevention System – IPS) để ghi lại lịch sử hoạt động, cảnh báo và chặn hoàn toàn lưu lượng mạng phù hợp với các quy tắc cụ thể.

Bạn có thể triển khai Suricata trên host gateway trong mạng để quét tất cả lưu lượng mạng ra/vào (incoming/outgoing) từ các hệ thống khác hoặc chạy cục bộ trên các máy riêng lẻ ở một trong hai chế độ.

Yêu cầu để cài đặt Suricata trên máy chủ Ubuntu 20.04

Tùy thuộc vào cấu hình mạng và mục đích sử dụng Suricata mà bạn điều chỉnh dung lượng CPU và RAM cho server của mình. Nhìn chung, nếu bạn kiểm tra lưu lượng truy cập càng lớn thì lượng tài nguyên phân bổ cho Suricata cũng cần nhiều hơn. Trong môi trường production, theo tính toán chung, cần sử dụng ít nhất 2 CPU và từ 4-8 GB RAM để tiến hành cài đặt. Từ đó bạn có thể mở rộng quy mô tài nguyên theo hiệu suất của Suricata và lưu lượng truy cập cần xử lý.

Để làm theo hướng dẫn này, bạn cần một máy chủ Ubuntu 20.04 có 2 CPU trở lên, user non-root có quyền sudo và bật firewall. Mặt khác, nếu bạn sử dụng Suricata trên các gateway của host để giám sát và bảo vệ nhiều server, bạn cần đảm bảo mạng của host được cấu hình chính xác.

Nếu bạn đang cần máy chủ Ubuntu 20.04 với yêu cầu tối thiểu 2 CPU, hãy tham khảo các gói Cloud VPS Giá Rẻ 3, VPS BASIC 3, VPS PREMIUM 3, VPS NVME 3 trở lên tại Vietnix.

Các gói VPS của Vietnix đều được trang bị cấu hình mạnh mẽ và hoạt động ổn định, đảm bảo đáp ứng được các nhu cầu sử dụng máy chủ của bạn. Bên cạnh đó, với đội ngũ kỹ thuật giàu kinh nghiệm và tận tâm, Vietnix sẽ hỗ trợ bạn mọi vấn đề trong quá trình sử dụng máy chủ một cách hiệu quả, nhanh chóng. Liên hệ ngay với Vietnix để được tư vấn chi tiết.

Bước 1: Cài đặt Suricata

Để cài đặt Suricata, bạn cần thêm thông tin kho lưu trữ phần mềm của Tổ chức bảo mật Thông tin Mở (Open Information Security Foundation – OISF) vào hệ thống Ubuntu. Chạy lệnh sau để thêm kho lưu trữ vào hệ thống và cập nhật danh sách các package có sẵn:

$ sudo add-apt-repository ppa:oisf/suricata-stable

Nhấn ENTER khi có thông báo xác nhận bạn muốn thêm kho lưu trữ. Lệnh trên sẽ cập nhật danh sách các package có sẵn sau khi thêm kho lưu trữ mới.

Bây giờ bạn có thể cài đặt suricata package bằng lệnh apt:

$ sudo apt install suricata

Khi package đã được cài đặt, hãy kích hoạt suricata-service khi hệ thống của bạn được khởi động lại. Sử dụng lệnh sau để kích hoạt:

$ sudo systemctl enable suricata.service

Khi dịch vụ được bật, bạn sẽ nhận được kết quả sau:

Output suricata.service is not a native service, redirecting to systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable suricata

Trước khi cấu hình Suricata, hãy dừng dịch vụ bằng lệnh sau:

$ sudo systemctl stop suricata.service

Dừng Suricata đảm bảo rằng khi bạn chỉnh sửa và kiểm tra tệp cấu hình, mọi thay đổi bạn thực hiện sẽ được xác thực khi khởi động lại Suricata.

Bước 2:  Cấu hình Suricata lần đầu tiên

Package Suricata từ kho lưu trữ OISF gửi kèm theo file cấu hình bao gồm nhiều chế độ sử dụng khác nhau. Chế độ mặc định cho Suricata là chế độ IDS, vì vậy không có lưu lượng nào bị hủy mà chỉ được ghi lại. Bạn có thể chọn bật chế độ IDS, tuy nhiên cấu hình mặc định vẫn có một vài cài đặt mà bạn cần thay đổi tùy thuộc vào môi trường phát triển và mục đích sử dụng của mình.

Trong trường hợp người dùng muốn cấu hình, tích hợp Suricata vào môi trường của mình, nắm bắt rõ hơn về các hoạt động, loại traffic,… bạn có thể chọn bật chế độ IPS.

(Tùy chọn) Kích hoạt luồng ID Community

Suricata có thể bao gồm trường Community ID trong output JSON để dễ dàng khớp các bản ghi sự kiện riêng lẻ với các bản ghi trong bộ dữ liệu do các công cụ khác tạo ra.

Nếu bạn định sử dụng Suricata với các công cụ khác như Zeek hoặc Elaticsearch thì bạn nên thêm Community ID. Để bật tùy chọn, sử dụng lệnh sau:

$ sudo nano /etc/suricata/suricata.yaml

Tìm dòng 120 có nội dung # Community Flow ID nếu bạn đang sử dụng nano loại CRTL+_ và sau đó nhập vào 120 khi được nhắc nhập số dòng. Dưới dòng 120 là community-id, đặt thành true để kích hoạt cài đặt:

                              /etc/suricata/suricata.yaml . . .       # Community Flow ID       # Adds a 'community_id' field to EVE records. These are meant to give       # records a predictable flow ID that can be used to match records to       # output of other tools such as Zeek (Bro).       #       # Takes a 'seed' that needs to be same across sensors and tools       # to make the id less predictable.        # enable/disable the community id feature.       community-id: true . . .

Kiểm tra lại các sự kiện sẽ có ID như 1:S+3BA2UmrHK0Pk+u3XH78GAFTtQ= để phối hợp với các bản ghi trên các công cụ NMS khác nhau.

Lưu và đóng file /etc/suricata/suricata.yaml . Nếu bạn đang sử dụng nano, bạn sẽ đóng file bằng CTRL+X, sau đó nhấn Y và ENTER.

Xác định (các) interface sẽ sử dụng

Bạn cần ghi đè interface mặc định hoặc interface mà bạn muốn Suricata quan sát lưu lượng. File cấu hình đi kèm với gói OISF Suricata mặc định kiểm tra lưu lượng trên cổng eth0. Nếu hệ thống của bạn sử dụng một interface mạng khác hoặc nếu bạn muốn kiểm tra lưu lượng truy cập trên nhiều giao diện thì cần phải thay đổi giá trị này.

Để xác định tên thiết bị của interface, bạn có thể sử dụng lệnh sau:

$ ip -p -j route show default

Cờ -p định dạng output và cờ -j in output dưới dạng JSON. Bạn sẽ nhận được output như sau:

Output [ {         "dst": "default",         "gateway": "203.0.113.254",         "dev": "eth0",         "protocol": "static",         "flags": [ ]     } ] 

Dòng dev cho biết thiết bị mặc định. Trong ví dụ trên, thiết bị là eth0, output cũng có thể hiển thị tên thiết bị là ens… hoặc eno… . Hãy ghi chú lại tên thiết bị.

Bây giờ bạn có thể chỉnh sửa cấu hình của Suricata và xác minh hoặc thay đổi tên interface. Sử dụng lệnh sau:

$ sudo nano /etc/suricata/suricata.yaml

Kéo file đến dòng af-packet: , khoảng dòng 580. Nếu bạn đang sử dụng nano, bạn có thể nhập CTRL+_  và nhập số dòng. Bên dưới dòng 580 là giao diện mặc định mà Suricata sử dụng để kiểm tra lưu lượng. Chỉnh sửa eth0 để phù hợp với interface như ví dụ sau:

# Linux high speed capture support af-packet:   - interface: eth0     # Number of receive threads. "auto" uses the number of cores     #threads: auto     # Default clusterid. AF_PACKET will load balance packets based on flow.     cluster-id: 99 . . .

Nếu muốn kiểm tra lưu lượng trên các giao diện bổ sung, bạn có thể thêm nhiều -interface:  eth… . Ví dụ, để thêm thiết bị có tên enp0s1, kéo xuống cuối phần af-packet đến khoảng dòng 650. Để thêm giao diện mới, hãy chèn giao diện đó trước phần -interface:  default như sau:

    #  For eBPF and XDP setup including bypass, filter and load balancing, please     #  see doc/userguide/capture-hardware/ebpf-xdp.rst for more info.    - interface: enp0s1     cluster-id: 98    - interface: default     #threads: auto     #use-mmap: no     #tpacket-v3: yes

Đảm bảo chọn một giá trị cluster-id duy nhất cho từng -interface.

Để mở trình chỉnh sửa và chuyển sang phần tiếp theo là nơi bạn sẽ cấu hình tải lại rule trực tiếp. Nếu bạn không muốn kích hoạt điều này thì có thể lưu và đóng file /etc/suricata/suricata.yaml. Nhấn CTRL+X, sau đó nhấn Y và ENTER nếu bạn sử dụng nano.

Cấu hình tải lại quy tắc trực tiếp

Suricata hỗ trợ tải lại quy tắc trực tiếp, nghĩa là bạn có thể thêm, xóa và chỉnh sửa quy tắc mà không cần khởi động lại quy trình Suricata đang hoạt động. Để bật tùy chọn tải lại trực tiếp, hãy cuộn xuống cuối tệp cấu hình và thêm các dòng sau:

. . .  detect-engine:   - rule-reload: true

Với cài đặt này, bạn có thể gửi tín hiệu hệ thống SIGUSR2 đến quy trình đang chạy và Suricata sẽ tải mọi quy tắc đã thay đổi vào bộ nhớ.

Để tải lại bộ quy tắc cho Suricata mà không cần khởi động lại quy trình, sử dụng lệnh sau:

$ sudo kill -usr2 $(pidof suricata)

Phần $(pidof suricata) gọi một subshell và tìm ID tiến trình của daemon Suricata đang chạy. Phần đầu sudo kill  -usr2 của lệnh sử dụng tiện ích kill để gửi tín hiệu SIGSR2 đến ID tiến trình được báo cáo lại bởi subshell.

Bạn có thể sử dụng lệnh này khi chạy suricata-update hoặc khi thêm và chỉnh sửa các quy tắc tùy chỉnh.

Lưu và đóng file /etc/suricata/suricata.yaml. Nếu bạn đang sử dụng nano, nhấn CTRL+X, sau đó Y và ENTER để xác nhận.

Bước 3: Cập nhật Bộ quy tắc Suricata

Sau khi hoàn thành 2 bước như trên, nếu bạn khởi động Suricata, bạn sẽ nhận được cảnh báo không có quy tắc nào được tải:

Output <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/suricata.rules

Theo mặc định, Suricata package bao gồm một bộ quy tắc phát hiện giới hạn (trong thư mục /etc/suricata/rules), do đó khi bật Suricata tại thời điểm này chỉ phát hiện một số lưu lượng truy cập xấu.

Suricata bao gồm công cụ suricata-update, sử dụng để tìm nạp các bộ rule từ các nhà cung cấp bên ngoài. Chạy lệnh sau để tải xuống bộ quy tắc cập nhật cho server Suricata:

$ sudo suricata-update

Bạn sẽ nhận được output như sau:

Output 19/10/2021 -- 19:31:03 - <Info> -- Using data-directory /var/lib/suricata. 19/10/2021 -- 19:31:03 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml 19/10/2021 -- 19:31:03 - <Info> -- Using /etc/suricata/rules for Suricata provided rules. . . . 19/10/2021 -- 19:31:03 - <Info> -- No sources configured, will use Emerging Threats Open 19/10/2021 -- 19:31:03 - <Info> -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.3/emerging.rules.tar.gz.  100% - 3044855/3044855                . . . 19/10/2021 -- 19:31:06 - <Info> -- Writing rules to /var/lib/suricata/rules/suricata.rules: total: 31011; enabled: 23649; added: 31011; removed 0; modified: 0 19/10/2021 -- 19:31:07 - <Info> -- Writing /var/lib/suricata/rules/classification.config 19/10/2021 -- 19:31:07 - <Info> -- Testing with suricata -T. 19/10/2021 -- 19:31:32 - <Info> -- Done.

Công cụ suricata-update đã tìm nạp Emerging Threats ET Open Rules miễn phí về các mối đe dọa và lưu vào file của Suricata: /var/lib/suricata/rules/suricata.rules. Ngoài ra suricata-update cũng cho biết số lượng quy tắc đã được xử lý. Trong ví dụ này, có 31011 quy tắc được thêm vào và 23649 quy tắc đã được bật.

Thêm nhà cung cấp bộ quy tắc

Công cụ suricata-update có thể tìm nạp các bộ quy tắc từ các nhà cung cấp. Bộ quy tắc ET Open mà bạn đã thêm có sẵn và miễn phí, trong khi những bộ quy tắc khác yêu cầu trả phí.

Bạn có thể sử dụng lệnh sau để liệt kê nhóm nhà cung cấp quy tắc mặc định:

$ sudo suricata-update list-sources

Bạn sẽ nhận được danh sách các nguồn như sau:

Output . . . 19/10/2021 -- 19:27:34 - <Info> -- Adding all sources 19/10/2021 -- 19:27:34 - <Info> -- Saved /var/lib/suricata/update/cache/index.yaml Name: et/open   Vendor: Proofpoint   Summary: Emerging Threats Open Ruleset   License: MIT . . .

Ví dụ, nếu bạn muốn thêm bộ quy tắc tgreen/hunting, bạn có thể kích hoạt bằng lệnh sau:

$ sudo suricata-update enable-source tgreen/hunting

Sau đó chạy suricata-update và bộ quy tắc mới sẽ được thêm vào, bên cạnh bộ quy tắc ET Open hiện có hoặc bộ quy tắc bất kì mà bạn đã tải xuống.

Bước 4: Xác thực cấu hình của Suricata

Sau khi đã chỉnh sửa file cấu hình bao gồm Community ID tùy chọn, chỉ định interface mạng mặc định và bật tải lại quy tắc trực tiếp, bạn nên kiểm tra cấu hình.

Suricata có chế độ kiểm tra tích hợp, kiểm tra cấu hình cùng với mọi quy tắc hợp lệ đi kèm. Xác thực các thay đổi bằng lệnh sau:

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v

Cờ -T chạy Suricata ở chế độ thử nghiệm, cờ -v sẽ in một số thông tin bổ sung và cờ -c cho Suricata biết vị trí tệp cấu hình. Quá trình kiểm tra có thể mất một hoặc hai phút tùy vào dung lượng CPU bạn đã phân bổ cho Suricata và số lượng quy tắc được thêm vào.

Với bộ quy tắc ET Open mặc định, bạn sẽ nhận được output như sau:

Output 21/10/2021 -- 15:00:40 - <Info> - Running suricata under test mode 21/10/2021 -- 15:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode 21/10/2021 -- 15:00:40 - <Info> - CPUs/cores online: 2 21/10/2021 -- 15:00:40 - <Info> - fast output device (regular) initialized: fast.log 21/10/2021 -- 15:00:40 - <Info> - eve-log output device (regular) initialized: eve.json 21/10/2021 -- 15:00:40 - <Info> - stats output device (regular) initialized: stats.log 21/10/2021 -- 15:00:46 - <Info> - 1 rule files processed. 23879 rules successfully loaded, 0 rules failed 21/10/2021 -- 15:00:46 - <Info> - Threshold config parsed: 0 rule(s) found 21/10/2021 -- 15:00:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only 21/10/2021 -- 15:01:13 - <Notice> - Configuration provided was successfully loaded. Exiting. 21/10/2021 -- 15:01:13 - <Info> - cleaning up signature grouping structure... complete

Nếu có lỗi trong file cấu hình của bạn thì chế độ kiểm tra sẽ tạo mã lỗi và thông báo cụ thể để giúp bạn khắc phục sự cố. Ví dụ: file quy tắc không tồn tại test.rules sẽ tạo ra lỗi như sau:

Output 21/10/2021 -- 15:10:15 - <Info> - Running suricata under test mode 21/10/2021 -- 15:10:15 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode 21/10/2021 -- 15:10:15 - <Info> - CPUs/cores online: 2 21/10/2021 -- 15:10:15 - <Info> - eve-log output device (regular) initialized: eve.json 21/10/2021 -- 15:10:15 - <Info> - stats output device (regular) initialized: stats.log 21/10/2021 -- 15:10:21 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/test.rules

Với lỗi trên, bạn có thể chỉnh sửa file cấu hình, bao gồm đường dẫn chính xác hoặc sửa các cấu hình và biến không hợp lệ.

Khi chế độ thử nghiệm Suricata của bạn chạy thành công, bạn có thể chuyển sang bước tiếp theo, đó là khởi động Suricata ở chế độ daemon.

Bước 5: Chạy Suricata

Bây giờ bạn đã có cấu hình và bộ quy tắc Suricata hợp lệ, bạn có thể khởi chạy server Suricata. Chạy lệnh sau:

$ sudo systemctl start suricata.service

Bạn có thể kiểm tra trạng thái của Suricata bằng lệnh:

$ sudo systemctl status suricata.service

Bạn sẽ nhận được output như sau:

Output ● suricata.service - LSB: Next Generation IDS/IPS      Loaded: loaded (/etc/init.d/suricata; generated)      Active: active (running) since Thu 2021-10-21 18:22:56 UTC; 1min 57s ago        Docs: man:systemd-sysv-generator(8)     Process: 22636 ExecStart=/etc/init.d/suricata start (code=exited, status=0/SUCCESS)       Tasks: 8 (limit: 2344)      Memory: 359.2M      CGroup: /system.slice/suricata.service              └─22656 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -vvv  Oct 21 18:22:56 suricata systemd[1]: Starting LSB: Next Generation IDS/IPS... Oct 21 18:22:56 suricata suricata[22636]: Starting suricata in IDS (af-packet) mode... done. Oct 21 18:22:56 suricata systemd[1]: Started LSB: Next Generation IDS/IPS.

Suricata sẽ mất từ một đến hai phút để tải và phân tích cú pháp tất cả các quy tắc. Để xem thông báo cụ thể, sử dụng lệnh sau:

$ sudo tail -f /var/log/suricata/suricata.log

Đợi cho đến khi nhận được output sau:

Output 19/10/2021 -- 19:22:39 - <Info> - All AFP capture threads are running.

Dòng này cho biết Suricata đang chạy và sẵn sàng kiểm tra lưu lượng. Bạn có thể thoát lệnh tail bằng cách sử dụng CTRL+C.

Sau khi xác minh rằng Suricata đang chạy, hãy chuyển sang bước tiếp theo.

Bước 6: Kiểm tra quy tắc Suricata

Bộ quy tắc ET Open mà bạn đã tải xuống chứa hơn 30000 quy tắc. Chạy lệnh sau để tạo yêu cầu HTTP, yêu cầu này sẽ trả về phản hồi phù hợp với quy tắc cảnh báo của Suricata:

Đối với bài hướng dẫn, chỉ với việc test qua Suricata để phát hiện các bất thường trên luồng lưu lượng truy cập bằng cấu hình vừa tạo là chưa đủ. Người dùng được khuyến nghị nên test các quy tắc ET Open với số 2100498 bằng lệnh curl.

$ curl http://testmynids.org/uid/index.html

Lệnh curl sẽ xuất ra phản hồi như sau:

Output uid=0(root) gid=0(root) groups=0(root)

Bây giờ bạn có thể kiểm tra nhật kí của Suricata để biết cảnh báo tương ứng. Có hai nhật kí được bật với cấu hình Suricata mặc định. Đầu tiên là /var/log/suricata/fast.log và thứ hai là đăng nhập có thể đọc được bằng máy /var/log/suricata/eve.log.

Kiểm tra /var/log/suricata/fast.log

Để kiểm tra mục nhập lịch sử đăng nhập /var/log/suricata/fast.log đã phải hồi lại curl request của người dùng, dùng quy tắc thứ 2100498 từ tài liệu Quickstart và hãy sử dụng lệnh sau:

$ grep 2100498 /var/log/suricata/fast.log

Nếu yêu cầu của bạn sử dụng IPv6, bạn sẽ nhận được output như sau, 2001:DB8 ::1 là địa chỉ IPv6 công khai của hệ thống:

Output 10/21/2021-18:35:54.950106  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 2600:9000:2000:4400:0018:30b3:e400:93a1:80 -> 2001:DB8::1:34628

Nếu yêu cầu của bạn sử dụng IPv4, output nhận được như sau, 203.0.113.1 là địa chỉ IPv4 công khai của hệ thống:

Output 10/21/2021-18:35:57.247239  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 204.246.178.81:80 -> 203.0.113.1:36364

Lưu ý giá trị 2100498 là Signature ID mà Suricata sử dụng để xác định quy tắc.

Kiểm tra /var/log/suricata/eve.log

Suricata cũng ghi lại các sự kiện /var/log/suricata/eve.log bằng cách sử dụng JSON để định dạng các mục nhập.

Tài liệu Suricata khuyến nghị sử dụng tiện ích jq để đọc-lọc các mục nhập trong file. Cài đặt jq (nếu chưa có) bằng lệnh apt:

$ sudo apt install jq

Khi bạn đã cài đặt jq, bạn có thể lọc các sự kiện trong nhật kí EVE bằng cách tìm kiếm chữ kí 2100498:

$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json

Lệnh trên kiểm tra từng mục nhập JSON và in bất kì mục nhập nào có đối tượng alert, với khóa signature-id khớp với giá trị 2100498 mà bạn đang tìm kiếm. Output của lệnh trên như sau:

Output {   "timestamp": "2021-10-21T19:42:47.368856+0000",   "flow_id": 775889108832281,   "in_iface": "eth0",   "event_type": "alert",   "src_ip": "203.0.113.1",   "src_port": 80,   "dest_ip": "147.182.148.159",   "dest_port": 38920,   "proto": "TCP",   "community_id": "1:XLNse90QNVTgyXCWN9JDovC0XF4=",   "alert": {     "action": "allowed",     "gid": 1,     "signature_id": 2100498,     "rev": 7,     "signature": "GPL ATTACK_RESPONSE id check returned root",     "category": "Potentially Bad Traffic", . . . }

Lưu ý, “signature-id “ : 2100498 là khóa jq được tìm kiếm. Khóa community-id là Mã định danh luồng cộng đồng mà bạn đã bật trong tệp cấu hình của Suricata. Mỗi cảnh báo sẽ tạo một Mã định danh luồng cộng đồng duy nhất. Các công cụ NMS khác cũng có thể tạo cùng một mã định danh để tham chiếu chéo một cảnh báo Suricata với output từ các công cụ khác.

Bước 7: Xử lý cảnh báo Suricata

Khi bạn đã thiết lập và kiểm tra các cảnh báo, bạn có thể chọn cách xử lý các cảnh báo trên. Đối với một số trường hợp, cảnh báo ghi lại lịch sử đăng nhập, hoặc bạn có thể chặn lưu lượng truy cập từ các hệ thống tạo cảnh báo.

Nếu bạn muốn chặn lưu lượng truy cập dựa trên các cảnh báo mà Suricata tạo ra, bạn có thể sử dụng các mục nhập từ lịch sử đăng nhập EVE, sau đó thêm các quy tắc firewall để hạn chế quyền truy cập vào các hệ thống của bạn. Bạn có thể sử dụng công cụ jq để trích xuất các trường cụ thể từ cảnh báo, sau đó thêm quy tắc UFW hoặc IPtables để chặn yêu cầu. Bạn cần có kiến thức về các hệ thống và giao thức mà môi trường của bạn để xác định lưu lượng nào là hợp lệ và lưu lượng nào cần chặn.

Như vậy bạn đã hoàn tất việc cài đặt Suricata trên Ubuntu 20.04. Nếu cần máy chủ VPS để triển khai thực hiện theo hướng dẫn trong bài viết, bạn có thể tham khảo lựa chọn các gói VPS tại Vietnix. Bên cạnh việc cung cấp dịch vụ chất lượng cao, Vietnix còn khẳng định vị thế trên thị trường VPS tốc độ cao tại Việt Nam qua những điểm mạnh sau:

• 10 năm kinh nghiệm.
• Hơn 50.000 khách hàng trong và ngoài nước tin chọn sử dụng.
• Hơn 100.000 dịch vụ đã được kích hoạt.
• Nhận giải Thương hiệu Việt Nam xuất sắc 2022.
• 97% khách hàng sử dụng VPS tại Vietnix có phản hồi tốt và giới thiệu cho người quen.

Liên hệ ngay với Vietnix để được tư vấn chi tiết và nhận ưu đãi hấp dẫn ngay hôm nay.

• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
• Hotline: 1800 1093 – 07 088 44444
• Email: sales@vietnix.com.vn

Lời kết

Trong hướng dẫn cài đặt Suricata trên Ubuntu 20.04 này, bạn đã cài đặt Suricata từ kho lưu trữ phần mềm OISF. Cài đặt Suricata theo bài viết này đảm bảo rằng bạn có thể cập nhật được những phiên bản mới nhất của Suricata. Cảm ơn bạn đã đọc bài viết, chúc các bạn cài đặt thành công.