Toolverse
All skills
Security

suricata-offline-evejson

by benchflow-ai

Running Suricata against PCAPs offline and validating results via eve.json

Installation

Pick a client and clone the repository into its skills directory.

Installation

Quick info

Author
benchflow-ai
Category
Security
GitHub repo

About this skill

Running Suricata against PCAPs offline and validating results via eve.json

How to use

  1. Przygotuj plik PCAP do analizy oraz plik z regułami Suricaty (np. local.rules). Upewnij się, że masz zainstalowaną Suricatę i dostęp do pliku konfiguracyjnego (np. suricata.yaml).

  2. Uruchom Suricatę w trybie offline na wybranym pliku PCAP, podając ścieżkę do reguł i katalog wyjściowy dla logów: suricata -c /root/suricata.yaml -S /root/local.rules -k none -r /root/sample.pcap -l /tmp/suri. Flaga -r określa plik PCAP, -S wskazuje plik z regułami, -l to katalog dla wyników (zawierający eve.json), a -k none ignoruje błędy sum kontrolnych.

  3. Sprawdź liczbę wykrytych alertów za pomocą polecenia: jq -r 'select(.event_type=="alert") | .alert.signature_id' /tmp/suri/eve.json | wc -l.

  4. Wyświetl identyfikatory i nazwy alertów, aby zobaczyć szczegóły: jq -r 'select(.event_type=="alert") | [.alert.signature_id,.alert.signature] | @tsv' /tmp/suri/eve.json.

  5. Dla iteracyjnego testowania reguł najpierw waliduj składnię: suricata -T -c /root/suricata.yaml -S /root/local.rules. Następnie uruchom Suricatę na pliku PCAP z ruchem pozytywnym (train_pos.pcap), a potem na pliku z ruchem negatywnym (train_neg.pcap), każdorazowo używając oddzielnego katalogu logów (-l /tmp/suri-pos i -l /tmp/suri-neg). Porównaj wyniki alertów między oboma przebiegami, aby upewnić się, że reguły działają prawidłowo.

  6. Zawsze sprawdzaj, czy Suricata zakończyła się bez błędów parsowania reguł, i używaj świeżego katalogu dla każdego uruchomienia, aby uniknąć mieszania logów z różnych testów.

Related skills

windows-ui-automation

by martinholovsky

\

Security
10115

academic-researcher

by Shubhamsaboo

Academic research assistant for literature reviews, paper analysis, and scholarly writing.\nUse when: reviewing academic papers, conducting literature reviews, writing research summaries,\nanalyzing methodologies, formatting citations, or when user mentions academic research,

Security
1260

solidity-security

by wshobson

Master smart contract security best practices to prevent common vulnerabilities and implement secure Solidity patterns. Use when writing smart contracts, auditing existing contracts, or implementing security measures for blockchain applications.

Security
10105

content-creator

by alirezarezvani

Create SEO-optimized marketing content with consistent brand voice. Includes brand voice analyzer, SEO optimizer, content frameworks, and social media templates. Use when writing blog posts, creating social media content, analyzing brand voice, optimizing SEO, planning content

Security
25124

manim

by davila7

Comprehensive guide for Manim Community - Python framework for creating mathematical animations and educational videos with programmatic control

Security
1588

brand-voice

by anthropics

Apply and enforce brand voice, style guide, and messaging pillars across content. Use when reviewing content for brand consistency, documenting a brand voice, adapting tone for different audiences, or checking terminology and style guide compliance.

Security
48158