Suricata(on T-Pot)が新しい攻撃に対応できていなかった問題の対処
ハニーポットシステムのT-Potには、通信を監視するIDS/IPSであるSuricataが導入されています。
SuricataはSnortなどと同様で、あらかじめ定義されたシグネチャを用い、その通信がどのような通信かを調べています。
すなわち新しい攻撃を検知するためには、それに対応した新しいシグネチャを用意する必要があります。
シグネチャのアップデート方法など調べたところ、どうやら設定の誤りがあり、最新のシグネチャが適用できていないことがわかりました。
今回は調査過程と設定変更方法について書いていきたいと思います。(設定変更部分だけ見たい方は、設定変更する節まで読み飛ばしてください。)
続きを読む