Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

コマンドラインでの設定

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 27, 2026
  • 12 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

このセクションでは、Suricata IDSシステムの高度な設定について説明します。これらの設定は、コマンドラインインターフェースからのみ行うことができます。

"suppress"を使用した誤検知の調整

重要でないイベントが数多く検知される場合は、/data/idsp/user-config/threshold.configとして保存されている閾値設定ファイルでいずれかのイベントを抑制できます。

抑制ルールの構文を以下に示します。

suppress gen_id <gid>, sig_id <sid>

特定のシグネチャにある1つ以上のIPアドレスを抑制するには、次の抑制ルールを使用します。

suppress gen_id <gid>, sig_id <sid>, track <by_src|by_dst|by_either>, ip <ip|subnet|addressvar>

すべてのシグネチャまたはすべてのグループを選択するには、sig_id 0またはgen_id0を選択します。

詳細については、Suricata IDSの公式文書を参照してください。

IDが2022886のシグネチャの例:

  1. IDSプローブにユーザflowmonとしてログインします。

  2. vimで**/data/idsp/user-config/threshold.config**を開きます。

  3. suppress gen_id 1, sig_id 2022886と記述します。

  4. IDSプローブを再起動します。

  5. IDSイベントブラウザで結果を確認します。

  シグネチャ2022886が緑色で表示され、抑制を処理した10:25以降はこのイベントが表示されていないことがわかります。

Suricata設定ファイルでのネットワーク変数の設定

これは、ネットワークを、抑制やルールの設定に使用できる変数として記述するのに役立ちます。

IPアドレスは、/data/idsp/user-config/suricata.yamlファイルで変数として定義できます。

  1. Flowmon IDSプローブにflowmonユーザとしてログインします。

  2. vimで**/data/idsp/user-config/suricata.yaml**を開きます。

  3. 変数を設定します。否定を使用することもできます。EXTERNAL_NET : “!$HOME_NET” これで、ルールや抑制コマンドでこれらの変数を使用できるようになりました。 例: suppress gen_id 1, sig_id 0, track by_src, ip $EXTERNAL_NET
    このルールは、ソースIPアドレスが外部ネットワークからのイベントを抑制します。

  4. IDSプローブを再起動します。

詳細については、Suricata IDSの公式文書を参照してください。

%YAML 1.1
---
vars:
    # more specific is better for alert accuracy and performance
    address-groups:
        HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
        #HOME_NET: "[192.168.0.0/16]"
        #HOME_NET: "[10.0.0.0/8]"
        #HOME_NET: "[172.16.0.0/12]"
        #HOME_NET: "any"

        EXTERNAL_NET: "!$HOME_NET"
        #EXTERNAL_NET: "any"

        HTTP_SERVERS: "$HOME_NET"
        SMTP_SERVERS: "$HOME_NET"
        SQL_SERVERS: "$HOME_NET"
        DNS_SERVERS: "$HOME_NET"
        TELNET_SERVERS: "$HOME_NET"
        AIM_SERVERS: "$EXTERNAL_NET"
        DNP3_SERVER: "$HOME_NET"
        DNP3_CLIENT: "$HOME_NET"
        MODBUS_CLIENT: "$HOME_NET"
        MODBUS_SERVER: "$HOME_NET"
        ENIP_CLIENT: "$HOME_NET"
        ENIP_SERVER: "$HOME_NET"
    port-groups:
        HTTP_PORTS: "80"
        SHELLCODE_PORTS: "!80"
        ORACLE_PORTS: 1521
        SSH_PORTS: 22
        DNP3_PORTS: 20000
        MODBUS_PORTS: 502
        FILE_DATA_PORTS: "[$HTTP_PORTS,110,143]"
        FTP_PORTS: 21

Suricataルールの管理

Flowmon IDSプローブでは、ルールを管理するために、事前に設定されたsuricata-updateツールを使用します。このツールは、複数のソースからルールを収集して、1つのsuricata.rulesファイルにまとめます。

デフォルトでは、このツールは以下の2つのソースからルールを収集するように設定されています。

  • Flowmonサービス(リモートルールソース)

    • Emerging Threats OpenルールのFlowmonコピー。

    • services.flowmon.comにアクセスできない場合は、オフラインバックアップが使用されます。

  • /data/idsp/user-config/rules (ローカルルールソース)

    • このフォルダにある**.rules**で終わるすべてのファイルが読み込まれます。

    • 新規インストールの場合は、このディレクトリは空になっています。このフォルダはユーザ定義ルール用です。

ルールソースは、以下の設定ファイルを使用して調整できます。

  • /data/idsp/user-config/update.yaml

    • sourcesおよびlocal属性を使用して、リモートソースまたはローカルソースを追加できます。Flowmon IDSプローブによって提供されるデフォルトのソースは、この設定ファイルに表示されません。

    • sources属性の例:

# Remote rule sources. Simply a list of URLs.
sources:
  # Emerging Threats Open with the Suricata version dynamically replaced.
  # -
https://rules.emergingthreats.net/open/suricata-%(__version__)s/emerging.rules.tar.gz
  # The SSL blacklist, which is just a standalone rule file.
  # - https://sslbl.abuse.ch/blacklist/sslblacklist.rules

  • /data/idsp/user-config/flowmon-idsp-suricata-update.yaml

    • enable_flowmon_rules_feed属性を使用すると、Flowmonサービスフィードからのデフォルトのルールを無効にすることができます。非アクティブ化は、デフォルトルールを独自のルールソースに全面的に置き換える場合に便利です。

suricata-updateツールを使用すると、個別の設定ファイルを使用してルールセットをカスタマイズできます。設定ファイルの適用順序と意味は以下のとおりです。

  • /data/idsp/user-config/disable.conf (ルールを非アクティブ化する)

  • /data/idsp/user-config/enable.conf (非アクティブ化されたルールをアクティブ化する)

  • /data/idsp/user-config/drop.conf (ルールアクションを"drop"に変換する(IDSPでは使用不可))

  • /data/idsp/user-config/modify.conf (ルール定義を書き換える)

**/data/idsp/user-config/**フォルダ内の設定ファイルは、以下の方法で元のバージョンをコピーすると再作成することができます(ファイルがない場合や無効な場合)。

cp /data/components/flowmon-idsp-suricata-update/etc/suricata/* /data/idsp/user-config/

設定は、suricata-updateツールの次回実行時に適用されます。このツールは1時間ごとに実行するようにスケジュール設定されています。設定を直ちに適用するには、次のコマンドを実行してサービスを手動で再起動します。

sudo systemctl restart flowmon-idsp-suricata-update

journalctlツールを使用してflowmon-idsp-suricata-updateログを確認し、設定変更を検証することができます。

sudo journalctl --no-pager -eu flowmon-idsp-suricata-update

suricata-updateツールの設定ファイルやルールの一致の詳細については、公式文書を参照してください。

補足

Flowmon IDSプローブは、独自のサービスを使用してsuricata-updateツールを実行します。

suricata-updateコマンドを直接実行しないでください。

カスタム分類の管理

カスタム分類を設定して、suricata-updateによって生成された既存の分類のリストに追加できます。分類は、 /data/idsp/user-config/classification.configで次の形式を使用して管理できます。

config classification: <shortname>, <short description>, <priority>

カスタム分類が追加されると、suricata-updateツールの次回実行時に変更が適用されます。このツールは1時間ごとに実行するようにスケジュール設定されています。変更を直ちに適用するには、次のコマンドを実行してサービスを手動で再起動します。

sudo systemctl restart flowmon-idsp-suricata-update

補足

既存のカスタム分類が変更された場合や、変更が反映されない場合は、変更を反映させるためにFlowmon IDSPモジュールを再起動する必要があります。

GID - グループ/ジェネレータID

新しいルールを作成するとき、またはテスト用にルールのコピーを作成するときに、GIDを設定できます。デフォルトのGIDはすべてのルールで1です。新しいGIDは1000000より大きな値にする必要があります。

GIDを使用してルールを抑制することができます。

alert tls any any -> any any (msg:"SURICATA TLS invalid record version"; flow:established; app-layer-event:tls.invalid_record_version; flowint:tls.anomaly.count,+,1; classtype:protocol-command-decode; gid:1000001; sid:2230015; rev:1;)

Suricata IDSプローブの再起動

Flowmon Configuration Center (FCC)の左側のメニューの[バージョン]セクションで、Flowmon IDSプローブを再起動できます。IDSプローブ行の[停止]をクリックしてから、[開始]をクリックします。

補足

IDSプローブを再起動するたびに、Flowmonエクスポータが再起動されるため、Flowデータが失われる場合があります。

補足

Flowmon IDSプローブは、独自のサービスを使用してsuricata-updateツールを実行します。

suricataコマンドを直接実行しないでください。

TitleResults for “How to create a CRG?”Also Available inAlert