一.IDS功能
通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段上也与Wazuh比较类似
二.IPS功能
与Wazuh的主动响应的功能不一样,IPS功能并不需要对防火墙进行调用,而是直接通过将流量引入到iptabels的队列中,
再根据特征进行检测,满足规则的流量会直接被Suricata丢弃或拒绝,导致整个流量根本无法到达目标服务器。而Wazuh
的主动响应机制是在攻击行为已经发生的情况下,通过日志信息进行检测,再调用iptables或firewall-cmd进行处理,实时性
和准确性方面相对于Suricata更延后一些。
三.支持的协议
Suricata来源于Snort,但是比Snort更加使用也增强了更多的功能,同时,Snort只支持传输层和网络层协议,而Suricata还支持
应用层的协议解析和规则匹配。
四.安装Suricata
# yum install epel-release yum-plugin-copr # yum copr enable @oisf/suricata-6.0 # yum install suricata
/usr/sbin/suricata --build-info
标签:Wazuh,suricata,流量,yum,Snort,使用,安装,Suricata From: https://www.cnblogs.com/eveplw/p/16602047.html