Vigor3912S Series Linux Application DockerTæknilýsing

• Vara: Vigor 3912S beinir
• Innbrotsgreiningarkerfi: Suricata IDS
• Reglur: Yfir 60,000 reglur þar á meðal 6,000+ CVE skilgreiningar
• Forgangsstig: 4 stig þar sem 1 er í hæsta forgangi

Notkunarleiðbeiningar fyrir vöru

• Stilling Linux forritslagsins
  • Stilltu Linux forritastillingarnar á beininum með því að stilla Linux IP tölu og Linux Gateway IP tölu.
  • Virkjaðu Linux SSH þjónustuna til að auka öryggi.
• Suricata uppsetning

• • Farðu í [Linux forrit] > [Suricata] og virkjaðu Suricata.
  • Virkjaðu Suricata Core Auto Update og Suricata Rule Auto Update fyrir sjálfvirkar uppfærslur.
• Regluval
  • Veldu viðeigandi reglur út frá forgangsstigum. Notaðu Select/Clear All hnappana til að virkja tiltekna flokka.
• Netviðburðaeftirlit
  • Farðu á [Linux forrit] > [Log Collector] til view netatburðir sem Suricata greindi.
  • Ákvarða hvort atburðir sem greindust krefjast aðgerða eða hægt sé að hunsa þær.
• Valfrjálst: Smart Action Setup
  • Virkjaðu Smart Action til að fá tilkynningar um viðburði.
  • Stilltu atburðarflokk, gerð, innihald, aðstöðu, stig og gerð aðgerða eftir þörfum.
• Eftirlit
  • Leitaðu að tilkynningum með því að nota bjöllutáknið og fylgdu Suricata-reglusamræmdum talningum á tölfræðisíðunni.

Hvernig á að setja Suricata IDS upp á Vigor 3912S beinunum?
Vigor 3912S beinarnir geta keyrt mörg forrit á innbyggðu SSD-drifinu. Það er nokkur hugbúnaður þegar foruppsettur til að gera þetta ferli enn hraðara. Sjálfgefið er að Suricata, VigorConnect og önnur forrit eru fáanleg á beini.

Þökk sé Docker og WUI samþættingu leiðarinnar er spurning um nokkra músarsmelli að virkja Suricata.
Þessi grein sýnir virkjunarferli Suricata IDS á Vigor 3912S beinum.

Athugið
vinsamlegast vertu viss um að beininn sé tengdur við internetið þannig að nýjasta útgáfan af hugbúnaði sé notuð

• Stilling Linux forritalagsins á beininum
  • [Linux forritið] > [Almenn uppsetning] síðan ætti að vera stillt þannig að hægt sé að keyra fyrirfram uppsett eða ný Docker-samhæf forrit á beini.
  • Linux IP tölu og Linux Gateway IP vistfang reitirnir verða að vera fylltir út með IP tölu og netsviði að eigin vali.

Mjög mælt er með því að virkja AC Linux SSH þjónustuna, þó að það sé valfrjálst.

• Farðu í [Linux forrit] > [Suricata], veldu Virkja og Suricata kjarnann
  • Auto Update og Suricata Rule Auto Update valkostir athuga daglega fyrir nýjustu útgáfuna sem síðan er sjálfkrafa sett upp.

Skýringar

1. Core Base - tveir kjarna grunnvalkostir eru í boði. V3912-r1 notar Suricata útgáfu 6.0.x; v3912-r2 notar Suricate útgáfu 7.0.x; Núverandi Suricata útgáfa verður sýnd við hliðina á Core Base fellivalmyndinni.
2. Suricata Core Auto Update er keyrt á 24 klukkustunda fresti til að athuga hvort nýjustu kjarnamyndin sé. Þegar henni hefur verið hlaðið niður verður nýja myndin notuð eftir næstu endurræsingu á beini.
3. Suricata Core Auto Update – þetta ferli ætti að keyra um 6:30 að staðartíma (á hverjum degi). Ef kjarnamyndin er ekki uppfærð gætu sumar reglur Suricata hafa fengið uppfærslu þökk sé SOP ferli kjarnamynda sem greinir og uppfærir reglurnar.

• Með yfir 60 þúsund reglum, þar á meðal 6k+ CVE skilgreiningum, er þess virði að velja réttu.

Athugið
Þegar einhverjar reglur hafa verið valdar hjálpar Suricata við að greina netvirknina. Ef Suricata reglan breytist mun Vigor 3912S endurhlaða Suricata þjónustuna.

• Farðu í [Linux forrit] > [Log Collector]. Veldu tímabil og SURICATA sem aðstöðu til view nettilvikin sem SURICATA fann. Atburðir sem uppgötvast eru kannski ekki allir slæmir. Við verðum að athuga hvaða netatburður kallar á annálinn og ákvarða frekari aðgerð. Ef nettilvikið er venjulegt, getum við afvalið tiltekna flokksreglu úr regluuppsetningunni.
  
• (valfrjálst) Virkjaðu Smart Action til að fá Suricata tilkynningarnar

1. Veldu System fyrir atburðaflokkinn
2. Veldu Log Keyword Match fyrir atburðartegundina
3. Sláðu inn .* í lykilorðaefni. Það þýðir hvaða log sem er.
4. Leitarorðategund REGEX eða TEXT REGEX stendur fyrir reglubundin tjáning, sem gerir okkur kleift að nota skilgreint mynstur til að leita. TEXT er strengurinn, venjulega ekki notaður með sérstöfum.
5. Telja 1 Tímabil 0 sekúndur þýðir að senda web tilkynningu um hvaða atburði sem er.
6. Veldu SURICATA fyrir aðstöðuna
7. Veldu INFO(6) fyrir Level.
8. Veldu Kerfi fyrir aðgerðaflokkinn
9. Veldu Web Tilkynning um gerð aðgerða

• Vöktun Litla bjölluhnappurinn gefur til kynna allar nýjar tilkynningar.

• Litli bjölluhnappurinn gefur til kynna allar nýjar tilkynningar.

Algengar spurningar

Sp.: Hversu oft keyrir Suricata Core Auto Update?
Suricata Core Auto Update keyrir á 24 klukkustunda fresti til að athuga hvort nýjustu kjarnamyndin sé.

Sp.: Hvað ætti ég að gera ef sumar Suricata reglur eru ekki að uppfæra?
Ef kjarnamyndin er ekki uppfærð geta sumar reglur samt fengið uppfærslur í gegnum SOP-ferlið kjarnamynda sem greinir og uppfærir reglur. Það eru 4 forgangsstig. Notaðu Select/Clear All (x) hnappana til að virkja tiltekinn flokk. Númer 1 er í hæsta forgangi (af 4).

Skjöl / auðlindir

Draytek Vigor3912S Series Linux Application Docker [pdf] Handbók eiganda Vigor3912S Series, Vigor3912S Series Linux Application Docker, Linux Application Docker, Application Docker, Docker

Heimildir

• Notendahandbók