Общедоступные наборы правил к IDS Suricata
Общедоступные наборы правил к IDS Suricata
Категория: Железо Теги: Межсетевые экраны Опубликовано: 28 июня 2024

Бесплатные наборы правил для IDS Suricata

Оказывается бесплатные наборы правил для системы обнаружения вторжений Suricata или Snort весьма сложный вопрос и найти их не так уж просто. Найти какие-либо наборы правил, кроме ET Open или недоступных Snort Community, весьма сложно. Именно поэтому я решил собрать такой список и проверить их в Suricata из pfSense!

Snort3 Community GNU

Многие, кто использовал Suricata в pfSense пытались загрузить набор правил Snort gnu community сталкивались с тем, что их не получается загрузить и очень сложно найти работающее зеркало, но оказывается оно есть! Вот оно, не благодарите:

Первый вариант правил не содержит категорий и добавляется одной категорией, создавая большое количество ложно-положительных сработок. Однако, по указанному ниже URL архив регулярно обновляется.

https://snort-org.herokuapp.com/downloads/community/snort3-community-rules.tar.gz

Важно вписывать этот URL в раздел Extra rules, а не в Install Snort GPLv2 Community rules!

Второй вариант содержит разбивку на категории, но дата обновления файла 1 июля 2022 года. Также множество категорий правил пустые.

https://snort.upmirror.a-real.ru/snortrules-snapshot.tar.gz

Важно вписывать этот URL в раздел Extra rules, а не в Install Snort GPLv2 Community rules!

Правила для Suricata от Positive Technologies

Компания Positive Technologies создали портал rules.ptsecurity.com, на котором выкладывают правила для IDS Suricata.

Полный список правил https://rules.ptsecurity.com/files/ptopen-all.rules.tar.gz

Также есть набор правил Attack Detection Team, но он не обновляется с 31 марта 2022 года.

https://github.com/ptresearch/AttackDetection/raw/master/pt.rules.tar.gz

Abuse ch Suricata JA3 Fingerprint

В pfSense есть набор правил Abusech SSL Blacklist, а эта называется Abuse ch Suricata JA3 Fingerprint Ruleset, хотя по смыслу они одинаковые - выявление вредоносных или скомпрометированных SSL сертификатов или их отпечатков.

https://sslbl.abuse.ch/blacklist/ja3_fingerprints.tar.gz

Abuse ch Suricata Botnet C2 IP

Данный набор правил содержит списки IP-адресов командных серверов ботнетов. В pfBlockerNG уже есть этот список.

https://sslbl.abuse.ch/blacklist/sslipblacklist.tar.gz

Etnetera aggressive IP blacklist

Набор IP адресов от Etnetera, с которых наблюдались злонамеренные действия.

https://security.etnetera.cz/feeds/etn_aggressive.rules

tgreen Threat hunting rules

Эвристический набор правил для охоты. Фокус на обнаружении аномалий. Обновляется не часто.

https://github.com/travisbgreen/hunting-rules/raw/master/hunting.rules.tar.gz

malsilo Commodity malware rules

Следы вредоносной активности в протоколах TCP/UDP, DNS и HTTP на Windows.

https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz

Stamus Networks Lateral movement rules

Набор правил Suricata, специально ориентированный на обнаружение боковых перемещений в средах Microsoft Windows, разработанный компанией Stamus Networks.

https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz

PAW Patrules is a collection of rules

Это целый список наборов правил, который позволяет обнаруживать множество событий в сети. Подозрительный поток, вредоносный инструмент, незащищенная и уязвимая система, известные угрожающие субъекты, боковое перемещение, плохая репутация. 

https://rules.pawpatrules.fr/suricata/paw-patrules.tar.gz

Threatfox Indicators of Compromise Rules

Они собирают и распространяют индикаторы компрометации (IOC), помогая защищать от киберугроз. 

Посмотреть правила так и не получилось, так как зависал веб-интерфейс при попытке их посмотреть.

https://threatfox.abuse.ch/downloads/threatfox_suricata.rules

Наборы правил из pfSense

Если вы используете pfSense, тогда следующие бесплатные наборы правил к Suricata вам будут не интересны, так как они там присутствуют по умолчанию.

Emerging Threats Open Ruleset

Набор правил для обнаружения и блокирования современных угроз.

https://rules.emergingthreats.net/open/suricata-6.0/emerging.rules.tar.gz

OISF Suricata Traffic ID ruleset

Набор правил для идентификации трафика.

https://openinfosecfoundation.org/rules/trafficid/trafficid.rules

Abuse.ch SSL Blacklist

Набор скомпрометированных SSL сертификатов.

https://sslbl.abuse.ch/blacklist/sslblacklist_tls_cert.tar.gz

Feodo Tracker Botnet C2 IP

Список IP командных центров ботнетов от Feodo Tracker.

https://feodotracker.abuse.ch/downloads/feodotracker.tar.gz

Алексей Черемных
1364