Suricata analyse le trafic réseau en temps réel via inspection profonde de paquets (DPI). Je l'utilise principalement en mode IDS (détection + alerte) pour l'instant — le mode IPS qui bloque les paquets est plus risqué à activer sur un homelab sans avoir bien testé les règles.
| Mode | RĂ´le | Action |
|---|---|---|
| IDS | DĂ©tecter et alerter | Log seulement |
| IPS | DĂ©tecter et bloquer | Drop les paquets malveillants |
Suricata compare le trafic réseau contre des règles de signatures :
# DĂ©tection scan de ports
alert tcp any any -> $HOME_NET any (msg:"Nmap scan detected"; ...)
# Exploit EternalBlue (SMB)
alert smb any any -> $HOME_NET 445 (msg:"ET EXPLOIT EternalBlue"; ...)
Les règles viennent principalement d'Emerging Threats (libre) et se mettent à jour via suricata-update.
Les alertes de Suricata (/var/log/suricata/eve.json) sont lues par l'agent Wazuh local pour corrélation SIEM. Comme ça tout se retrouve dans le dashboard Wazuh.
# alertes en temps réel
tail -f /var/log/suricata/fast.log
# mise à jour des règles
suricata-update