Sau khi cài đặt suricata làm IDS/IPS ta sẽ quan tâm đến những cảnh báo đối với hệ thống. Với suricata những cảnh báo này sẽ được ghi lại thành một file log. File log này mặc định nằm trong thư mục /var/log/suricata (ta cũng có thể thay đổi đường dẫn này trong file suricata.yaml). Khi một gói tin match với một rules của suricata (phát hiện tấn công) nó sẽ được ghi lại thành một bản tin log trong file fast.log có dạng như sau:

Time[**][gid:sid:rev]message[**][Classification][Priority][Protocol] Source-> Destination

Trong đó:

  • Time: Thời gian xảy ra cảnh báo
  • gid: Được sử dụng để nhóm các rule khác nhau. Mặc định sẽ nhận giá trị 1 nếu không được set trong rule
  • sid: Dùng để định danh một rule. Mỗi rule có một sid duy nhất
  • rev: Xác định số lần sửa đổi của 1 rule. Mỗi lần rule được thay đổi thì rev được tăng lên
  • message: Nội dung của cảnh báo
  • Classification: mô tả rule thuộc loại attack nào. Classtype được định nghĩa trong file classification.config
  • Priority: Thể hiện mức độ ưu tiên của cảnh báo. Thứ tự ưu tiên cao hơn sẽ được ưu tiên xử lý trước. Ví dụ 1 sẽ được ưu tiên hơn 2
  • Protocol: Giao thức của gói tin tcp, icmp…
  • Source: Địa chỉ nguồn của gói tin bao gồm IP và port
  • Destination: Địa chỉ đích của gói tin bao gồm IP và port

Ví dụ bản tin log như sau:

03/09/2020-22:27:13.111796 [**] [1:2001330:8] ET POLICY RDP connection confirm [**] [Classification: Misc activity] [Priority: 3] {TCP} 103.101.160.197:3389 -> 212.92.122.86:65125

Như bản tin trên ta nội dung của các trường như sau:

  • Time: 03/09/2020-22:27:13.111796
  • gid: 1
  • sid: 2001330
  • rev: 8
  • message: ET POLICY RDP connection confirm
  • Classification: Misc activity
  • Priority: 3
  • Protocol: TCP
  • Source: 103.101.160.197:3389
  • Destination: 212.92.122.86:65125

Với bản tin trên ta có thể xác định attacker đang cố tình bufforce RDP đến server của ta qua port 3389 và server của ta đang gửi lại gói tin đến attacker để yêu cầu nhập password.