1. Update Ubuntu
sudo apt-get update
2. Install Paket Tambahan (curl, jq, properties common)
sudo apt-get install software-properties-common jq curl -y
3. Tambahkan Repository Suricata
sudo add-apt-repository ppa:oisf/suricata-stable
4. Update Repository
sudo apt-get update
5. Install Suricata
sudo apt-get install suricata -y
6. Konfigurasi Suricata
Cek Interface (enp0s3) & IP address
ip a
7. Edit Konfigurasi Utama
sudo nano /etc/suricata/suricata.yaml
8. Edit bagian berikut
vars:
address-groups:
HOME_NET: "[192.168.0.0/24]"
EXTERNAL_NET: "!$HOME_NET"
af-packet:
- interface: enp0s3
threads: auto
cluster-id: 99
cluster-type: cluster_flow
defrag: yes
use-mmap: yes
outputs:
- fast:
enabled: yes
filename: /var/log/suricata/fast.log
- eve-log:
enabled: yes
filename: /var/log/suricata/eve.json
types:
- alert
- http
- dns
- tls
- ssh
- flow
di save
9. Update suricata
sudo suricata-update
10. Kita buat rules untuk monitoring alert (disini saya contohkan kita akan monitoring ICMP)
a. Pertama kita buat rule lokal nya terlebih dahulu, tapi sebelum itu kita cek dulu directory rule
sudo ls /etc/suricata/rules/
b. Jika kita mendapat [ Error writing /etc/suricata/rules/local.rules: No such file or directory ] Berarti directory rule nya belum ada, kita buat dulu directory nya.
sudo mkdir /etc/suricata/rules/
c. Kita buat rule lokal didalam folder /etc/suricata/rules/
sudo touch /etc/suricata/rules/local.rules
d. Lalu buka file /etc/suricata/rules/local.rules
sudo nano /etc/suricata/rules/local.rules
e. Tambahkan rule berikut didalam file /etc/suricata/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP Ping Detected"; sid:1000001; rev:1;)
i. Lalu save
j. Restart suricata
sudo systemctl restart suricata.service
11. Kita lakukan simulasi serangan dan monitoringnya
a. Kita lakukan ping dari CMD, kita ping ke server (ubuntu)
ping 192.168.0.140
b. Cek di server dengan perintah berikut
tail -f /var/log/suricata/fast.log
0 Komentar
Berkomentar dengan bijak