Бесплатные наборы правил для IDS Suricata
Оказывается бесплатные наборы правил для системы обнаружения вторжений Suricata или Snort весьма сложный вопрос и найти их не так уж просто. Найти какие-либо наборы правил, кроме ET Open или недоступных Snort Community, весьма сложно. Именно поэтому я решил собрать такой список и проверить их в Suricata из pfSense!
Snort3 Community GNU
Многие, кто использовал Suricata в pfSense пытались загрузить набор правил Snort gnu community сталкивались с тем, что их не получается загрузить и очень сложно найти работающее зеркало, но оказывается оно есть! Вот оно, не благодарите:
Первый вариант правил не содержит категорий и добавляется одной категорией, создавая большое количество ложно-положительных сработок. Однако, по указанному ниже URL архив регулярно обновляется.
https://snort-org.herokuapp.com/downloads/community/snort3-community-rules.tar.gz
Важно вписывать этот URL в раздел Extra rules, а не в Install Snort GPLv2 Community rules!
Второй вариант содержит разбивку на категории, но дата обновления файла 1 июля 2022 года. Также множество категорий правил пустые.
https://snort.upmirror.a-real.ru/snortrules-snapshot.tar.gz
Важно вписывать этот URL в раздел Extra rules, а не в Install Snort GPLv2 Community rules!
Правила для Suricata от Positive Technologies
Компания Positive Technologies создали портал rules.ptsecurity.com, на котором выкладывают правила для IDS Suricata.
Полный список правил https://rules.ptsecurity.com/files/ptopen-all.rules.tar.gz
Также есть набор правил Attack Detection Team, но он не обновляется с 31 марта 2022 года.
https://github.com/ptresearch/AttackDetection/raw/master/pt.rules.tar.gz
Abuse ch Suricata JA3 Fingerprint
В pfSense есть набор правил Abusech SSL Blacklist, а эта называется Abuse ch Suricata JA3 Fingerprint Ruleset, хотя по смыслу они одинаковые - выявление вредоносных или скомпрометированных SSL сертификатов или их отпечатков.
https://sslbl.abuse.ch/blacklist/ja3_fingerprints.tar.gz
Abuse ch Suricata Botnet C2 IP
Данный набор правил содержит списки IP-адресов командных серверов ботнетов. В pfBlockerNG уже есть этот список.
https://sslbl.abuse.ch/blacklist/sslipblacklist.tar.gz
Etnetera aggressive IP blacklist
Набор IP адресов от Etnetera, с которых наблюдались злонамеренные действия.
https://security.etnetera.cz/feeds/etn_aggressive.rules
tgreen Threat hunting rules
Эвристический набор правил для охоты. Фокус на обнаружении аномалий. Обновляется не часто.
https://github.com/travisbgreen/hunting-rules/raw/master/hunting.rules.tar.gz
malsilo Commodity malware rules
Следы вредоносной активности в протоколах TCP/UDP, DNS и HTTP на Windows.
https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz
Stamus Networks Lateral movement rules
Набор правил Suricata, специально ориентированный на обнаружение боковых перемещений в средах Microsoft Windows, разработанный компанией Stamus Networks.
https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz
PAW Patrules is a collection of rules
Это целый список наборов правил, который позволяет обнаруживать множество событий в сети. Подозрительный поток, вредоносный инструмент, незащищенная и уязвимая система, известные угрожающие субъекты, боковое перемещение, плохая репутация.
https://rules.pawpatrules.fr/suricata/paw-patrules.tar.gz
Threatfox Indicators of Compromise Rules
Они собирают и распространяют индикаторы компрометации (IOC), помогая защищать от киберугроз.
Посмотреть правила так и не получилось, так как зависал веб-интерфейс при попытке их посмотреть.
https://threatfox.abuse.ch/downloads/threatfox_suricata.rules
Наборы правил из pfSense
Если вы используете pfSense, тогда следующие бесплатные наборы правил к Suricata вам будут не интересны, так как они там присутствуют по умолчанию.
Emerging Threats Open Ruleset
Набор правил для обнаружения и блокирования современных угроз.
https://rules.emergingthreats.net/open/suricata-6.0/emerging.rules.tar.gz
OISF Suricata Traffic ID ruleset
Набор правил для идентификации трафика.
https://openinfosecfoundation.org/rules/trafficid/trafficid.rules
Abuse.ch SSL Blacklist
Набор скомпрометированных SSL сертификатов.
https://sslbl.abuse.ch/blacklist/sslblacklist_tls_cert.tar.gz
Feodo Tracker Botnet C2 IP
Список IP командных центров ботнетов от Feodo Tracker.
https://feodotracker.abuse.ch/downloads/feodotracker.tar.gz