Раздел, определяющий файлы правил в вашей конфигурации Suricata, должен быть структурирован следующим образом:
rule-files: - suricata.rules - additional.rules # - ioc_url.rules # - ioc_ip.rules # - ioc_domain.rules
Помимо стандартного файла (suricata.rules), можно включить несколько дополнительных файлов.
О файле additional.rules #
Файл additional.rules предназначен для хранения пользовательских правил в следующем формате:
#drop dns $HOME_NET any -> any any (msg:»Oculus Universal DNS Query to universal media Malicious FQDN»; dns.query; dataset:isset, universal.blst, type string, load /var/lib/suricata/universal.blst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:2000001; rev:1;)
#drop dns $HOME_NET any -> any any (msg:»Oculus Porno DNS Query to porn media Malicious FQDN»; dns.query; dataset:isset, porno.blst, type string, load /var/lib/suricata/porn.blst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:2000002; rev:1;)
#drop dns $HOME_NET any -> any any (msg:»Oculus Social DNS Query to social media Malicious FQDN»; dns.query; dataset:isset, social.blst, type string, load /var/lib/suricata/social.blst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:2000003; rev:1;)
#drop dns $HOME_NET any -> any any (msg:»Oculus Fakenews DNS Query to fakenews media Malicious FQDN»; dns.query; dataset:isset, fakenews.blst, type string, load /var/lib/suricata/fakenews.blst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:2000004; rev:1;)
#drop dns $HOME_NET any -> any any (msg:»Oculus Gambling DNS Query to gambling media Malicious FQDN»; dns.query; dataset:isset, gambling.blst, type string, load /var/lib/suricata/gambling.blst, memcap 10mb, hashsize 1024; classtype: trojan-activity; sid:2000005; rev:1;)