Suricata IDSの設定と調整

Flowmon IDSプローブパッケージは、サードパーティのオープンソースプロジェクトSuricata IDSをコミュニティルールとともにFlowmonプラットフォームに統合したものです。このパッケージは無料で提供されており、Flowmon IDSプローブはFlowmonサポートサービスの対象外です。

Suricata IDSの詳細については、公式のSuricataドキュメントを参照してください。

このセクションには、Suricata IDSがFlowmonプラットフォームに統合されている場合にその設定を調整するための基本手順が記載されています。Flowmonユーザインターフェースから直接実行できる基本設定や、Flowmonアプライアンスのコマンドラインから実行する必要のある高度な設定について説明されています。

Suricataは、ネットワークトラフィックの潜在的な脅威を検出する侵入検知システム(IDS)です。これらの脅威を検知するため、IDSはシグネチャを利用します。シグネチャとは、パケットの内容に基づいて脅威を記述しているルールの構造化されたリストを表したものです。IDSシステムはさらにネットワークトラフィックを検証し、IDSシステムを通過してきた各パケットにこれらのルールを適用します。検証対象のパケットがシグネチャに記述されているルールに該当すると、IDSシステムはアラートを生成してユーザに通知します。

IDSではフルパケットキャプチャが実行されます。これは、侵入の可能性がないか、IDSシステムを通過してくるすべてのパケットが検証されることを意味します。このプロセスは計算負荷が高くリソースを消費する可能性があります。また、これらのシステムでは通常、侵入の可能性を検知するためにすべてのパケットを検証する必要はありません。このことから提案されるのは、各ネットワークフローの最初のN¹個のパケットのみを検証するソリューションです。これにより、トラフィック量の多いネットワークでSuricata IDSシステムの負荷が低減します。