【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)

【简介】

数据包捕获是一个重要组件，可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM)。我们可以借助开源 IDS 工具来处理数据包捕获，并检查潜在网络入侵和恶意活动的签名。使用网络观察程序提供的数据包捕获，可以分析网络中是否存在任何有害入侵或漏洞，Suricata 就是这样的一种开源工具，它是一个 IDS 引擎，可使用规则集来监视网络流量，每当出现可疑事件时，它会触发警报。 Suricata 提供多线程引擎，意味着它能够以更高的速度和效率执行网络流量分析，在本文中将会介绍到如何在 Azure VM 中使用Suricata来对网络进行入侵检测，同时并根据Suricata中给定的威胁规则匹配的数据包出发报警，以此达到实时安全威胁监测。

【前期文章】

【Microsoft Azure 的1024种玩法】一.一分钟快速上手搭建宝塔管理面板
【Microsoft Azure 的1024种玩法】二.基于Azure云平台的安全攻防靶场系统构建
【Microsoft Azure 的1024种玩法】三.基于Azure云平台构建Discuz论坛
【Microsoft Azure 的1024种玩法】四. 利用Azure Virtual machines 打造个人专属云盘，速度吊打某云盘
【Microsoft Azure 的1024种玩法】五.基于Azure Cloud Shell 一站式创建Linux VM
【Microsoft Azure 的1024种玩法】六.使用Azure Cloud Shell对Linux VirtualMachines 进行生命周期管理
【Microsoft Azure 的1024种玩法】七.Azure云端搭建部署属于自己的维基百科
【Microsoft Azure 的1024种玩法】八. 基于Azure云端轻松打造一款好用的私有云笔记
【Microsoft Azure 的1024种玩法】九. Microsoft Azure云端轻松构建部署PostgreSQL数据库
【Microsoft Azure 的1024种玩法】十. 基于Azure App Service 快速上手部署 ASP.NET Web 应用
【Microsoft Azure 的1024种玩法】十一.手动对Azure磁盘进行IOPS性能压力测试
【Microsoft Azure 的1024种玩法】十二. 使用Auzre cloud 安装搭建docker+vulhub靶场
【Microsoft Azure 的1024种玩法】十三.Azure cloud｜带你快速搭建DVWA靶场漏洞环境
【Microsoft Azure 的1024种玩法】十四.Azure DNS 在线域名委托解析操作指南
【Microsoft Azure 的1024种玩法】十五.通过Web浏览器对Auzre VM 服务器运维管理
【Microsoft Azure 的1024种玩法】十六.Cobaltstrike内网渗透工具在Azure Cloud中的部署使用
【Microsoft Azure 的1024种玩法】十七.在Microsoft Azure上动手搭建专属私有文件同步服务]
【Microsoft Azure 的1024种玩法】十八.快速创建Microsoft Azure SQL数据库初体验
【Microsoft Azure 的1024种玩法】十九.使用Azure备份服务对虚拟机快速备份
【Microsoft Azure 的1024种玩法】二十.Azure Multi-Factor Authentication多因素验证最佳实战
【Microsoft Azure 的1024种玩法】二十一.利用Azure Blob Service 快速实现静态网站托管
【Microsoft Azure 的1024种玩法】二十二.中国区Azure Cloud 多重身份验证最佳实践
【Microsoft Azure 的1024种玩法】二十三.快速上手Azure Content Delivery Network 内容分发网络
【Microsoft Azure 的1024种玩法】二十四.通过Azure Front Door 的 Web 应用程序防火墙来对 OWASP TOP 10 威胁进行防御
【Microsoft Azure 的1024种玩法】二十五.使用Azure CDN对Azure Blob 静态托管站点进行加速
【Microsoft Azure 的1024种玩法】二十六. 在Azure VM中手动部署Windows Admin Center管理平台
【Microsoft Azure 的1024种玩法】二十七. Azure Virtual Desktop虚拟桌面之快速创建配置（一）
【Microsoft Azure 的1024种玩法】二十八. 基于Azure Cloud搭建IPS入侵防御系统实现安全流量实时分析
【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)

【操作步骤】

一.创建Azure VM Ubuntu

1.配置基本的Azure VM信息（包括订阅、资源组、实例详细信息，管理员账号及入站端口规则），具体配置如下所示：

2.配置磁盘信息（配置相关磁盘类型及加密类型）具体配置如下所示：
3.配置网络接口信息（虚拟网络、子网、公网IP、公共出入站端口等）具体配置如下所示：

4.配置监视和管理

5.查看并创建虚拟机

6.部署完成以后，可点击直接“转到资源”

7.如下图所示可以看到虚拟机资源管理页面

二.远程连接Azure VM Ubuntu

1.使用SSH远程连接命令连接到Azure VM 中，具体操作步骤如下所示：

三.下载安装 Suricata

1.使用Apt命令下载Suricata

sudo add-apt-repository ppa:oisf/suricata-stable

2.使用apt update 的命令进行更新

sudo apt update

3.使用apt install 安装suricata jq

sudo apt install suricata jq

安装过程如下图所示：

4.安装完成后，使用sudo suricata --build-info命令来看Suricata 版本

sudo suricata --build-info

具体版本信息如下图所示

四.Suricata基本配置

1.使用Ip a 命令检查 Suricata 在哪个接口上运行以及该接口的 IP，具体如下所示

2.查看suricata.yaml配置文件
suricata.yaml配置文件里很多的配置项目，我们主要关注HOME_NET变量的设置和网络接口的配置及Af-packet配置，如下是Af-packet配置详情

四.下载 Emerging Threats 规则集

1.目前，我们尚未创建运行 Suricata 所需的任何规则。如果想要检测特定的网络威胁，可以创建自己的规则，本文使用可免费访问的 Emerging Threats 规则集，如下图所示，我们使用如下命令下载该规则集

wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
tar zxf emerging.rules.tar.gz

2.下载完毕以后对其tar.gz文件进行解压缩

3.解压缩完毕以后，并将其复制到目录rules中

4.如下图是下载解压并复制到rules目录中文件

五.使用 Suricata 处理数据包捕获

1.安装规则后，Suricata 可以正常运行，我们对其进行重新启动下：

sudo systemctl restart suricata

2.我们执行如下命令，来对suricata的日志进行滚轮触发

sudo tail -f /var/log/suricata/fast.log

3. 我们在服务器中使用Curl 命令请求下地址进行验证

curl http://testmyids.com/
curl http://www.baidu.com/

4.如下图所示，我们在日志中看到以下包括时间戳和系统的 IP的访问记录输出

六.结语

届时我们已经完成了在Azure VM 中快速搭建网络入侵检测 (IDS) 及网络安全监视 (NSM)实践操作，接下来，我们可以全面使用Suricata来对网络进行入侵检测，同时并根据Suricata中给定的威胁规则匹配的数据包出发报警，以此达到实时安全威胁监测！