satta/awesome-suricata

# Suricata 精选 [](https://awesome.re) [](https://suricata.io) [Suricata](https://suricata.io/features) 是一款免费的入侵检测/防御系统 (IDS/IPS) 和网络安全监控引擎。 ## 目录 - [输入工具](#input-tools) - [输出工具](#output-tools) - [运维、监控与故障排除](#operations-monitoring-and-troubleshooting) - [编程库和工具包](#programming-libraries-and-toolkits) - [仪表盘与模板](#dashboards-and-templates) - [开发工具](#development-tools) - [文档与指南](#documentation-and-guides) - [分析工具](#analysis-tools) - [规则集](#rule-sets) - [规则/安全内容管理与处理](#rulesecurity-content-management-and-handling) - [插件与扩展](#plugins-and-extensions) - [使用 Suricata 的系统](#systems-using-suricata) - [培训](#training) - [仿真与测试](#simulation-and-testing) - [数据集](#data-sets) - [杂项](#misc) ## 输入工具 - [PacketStreamer](https://github.com/deepfence/PacketStreamer) - 面向云原生环境的分布式 tcpdump。 ## 输出工具 - [suricata-kafka-output](https://github.com/Center-Sun/suricata-kafka-output) - 适用于 Suricata 6 的 Suricata Eve Kafka 输出插件。 - [suricata-redis-output](https://github.com/jasonish/suricata-redis-output) - 适用于 Suricata 7 的 Suricata Eve Redis 输出插件。 - [Meer](https://github.com/quadrantsec/meer) - Suricata / Sagan 的“假脱机程序”。 - [FEVER](https://github.com/DCSO/fever) - 针对 Suricata 的 EVE-JSON 格式设计的快速、可扩展、多功能事件路由器。 - [Suricata-Logstash-Templates](https://github.com/pevma/Suricata-Logstash-Templates) - 配合 Suricata IDPS 使用的 Kibana/Logstash 模板。 - [Lilith](https://github.com/VVelox/Lilith) - 将 EVE 文件读取到 SQL 中并搜索存储的数据。 ## 运维、监控与故障排除 - [slinkwatch](https://github.com/DCSO/slinkwatch) - Suricata 监控接口的自动枚举与维护。 - [suri-stats](https://github.com/regit/suri-stats) - 用于处理 Suricata `stats.log` 文件的工具。 - [Mauerspecht](https://github.com/DCSO/mauerspecht) - 针对企业封闭网络环境的简单探测工具。 - [ansible-suricata](https://github.com/GitMirar/ansible-suricata) - Suricata Ansible role（略有陈旧）。 - [MassDeploySuricata](https://github.com/pevma/MassDeploySuricata) - 使用 Ansible IT 自动化平台批量部署和更新 Suricata IDPS。 - [docker-suricata](https://github.com/jasonish/docker-suricata) - Suricata Docker 镜像。 - [Suricata-Monitoring](https://github.com/VVelox/Suricata-Monitoring) - 用于 Suricata 统计数据的 LibreNMS JSON / Nagios 监控器。 - [Terraform Module for Suricata](https://github.com/onetwopunch/terraform-google-suricata) - 用于设置 Google Cloud 数据包镜像并将数据包发送至 Suricata 的 Terraform 模块。 - [InfluxDB Suricata Input Plugin](https://github.com/influxdata/telegraf/tree/master/plugins/inputs/suricata) - 用于 Telegraf 收集和转发 Suricata `stats` 日志的输入插件（在最近的 Telegraf 版本中已开箱即用）。 - [suricata_exporter](https://github.com/corelight/suricata_exporter) - 使用 Go 编写的简单 Prometheus exporter，可导出从 Suricata socket 抓取的统计指标。 ## 编程库和工具包 - [rust-suricatax-rule-parser](https://github.com/jasonish/rust-suricatax-rule-parser) - Rust 中的实验性 Suricata 规则解析器。 - [go-suricata](https://github.com/ks2211/go-suricata) - Suricata 的 Go 客户端（通过 Socket 交互）。 - [gonids](https://github.com/google/gonids) - 用于解析 Snort 和 Suricata 等引擎的入侵检测规则的 Go 库。 - [surevego](https://github.com/rhaist/surevego) - Go 语言编写的 Suricata EVE-JSON 解析器。 - [suricataparser](https://github.com/m-chrome/py-suricataparser) - 纯 Python 编写的 Snort/Suricata 规则解析器。 - [py-idstools](https://github.com/jasonish/py-idstools) - 使用 Python 编写的 Snort 和 Suricata 规则与事件实用工具（包含规则更新工具）。 ## 仪表盘与模板 - [KTS](https://github.com/StamusNetworks/KTS) - 用于 Suricata IDPS 威胁狩猎的 Kibana 4 模板。 - [KTS5](https://github.com/StamusNetworks/KTS5) - 用于 Suricata IDPS 威胁狩猎的 Kibana 5 模板。 - [KTS6](https://github.com/StamusNetworks/KTS6) - 用于 Suricata IDPS 威胁狩猎的 Kibana 6 模板。 - [KTS7](https://github.com/StamusNetworks/KTS7) - 用于 Suricata IDPS 威胁狩猎的 Kibana 7 模板。 ## 开发工具 - [Suricata Language Server](https://github.com/StamusNetworks/suricata-language-server) - Suricata 签名的语言服务器协议实现。配置完成后，它会为您喜欢的编辑器添加语法检查、提示和自动补全功能。 - [suricata-ls-vscode](https://github.com/StamusNetworks/suricata-ls-vscode) - 使用 Suricata Language Server 的 Suricata IntelliSense 扩展。 - [suricata-highlight-vscode](https://github.com/dgenzer/suricata-highlight-vscode) - Visual Studio Code 的 Suricata 规则支持（语法高亮等）。 - [SublimeSuricata](https://github.com/ozuriexv/SublimeSuricata) - Sublime Text 的基础 Suricata 语法高亮工具。 - [Suricata-Check](https://suricata-check.teuwen.net/readme.html) - 用于提供 Suricata 规则反馈的命令行工具。它可以检测诸如语法有效性、可解释性、规则特异性、规则覆盖率和效率等问题。 ## 文档与指南 - [SEPTun](https://github.com/pevma/SEPTun) - Suricata 极致性能调优指南。 - [SEPTun-Mark-II](https://github.com/pevma/SEPTun-Mark-II) - Suricata 极致性能调优指南 - 第二版。 - [suricata-4-analysts](https://github.com/StamusNetworks/suricata-4-analysts) - 安全分析师的 Suricata 指南。 - [Suricata Community Style Guide](https://github.com/sidallocation/suricata-style-guide) - 收集规则编写社区风格指南的协作文档。 ## 分析工具 - [Suricata Analytics](https://github.com/StamusNetworks/suricata-analytics) - 在处理 Suricata 数据时非常有用的各种资源。 - [Malcolm](https://github.com/cisagov/Malcolm) - 强大且易于部署的网络流量分析工具套件，适用于全数据包捕获产物（PCAP 文件）、Zeek 日志和 Suricata 警报。 - [Evebox](https://github.com/jasonish/evebox) - 针对 Elastic Search 中 Suricata EVE 事件的基于 Web 的事件查看器 (GUI)。 ## 规则集 - [nids-rule-library](https://github.com/klingerko/nids-rule-library#readme) - 各种开源和商业规则集的集合。 - [Stamus Lateral Movement Detection Rules](https://www.stamus-networks.com/blog/new-open-ruleset-for-detecting-lateral-movement-with-suricata) - 用于检测横向移动的 Suricata 规则集。 - [QuadrantSec Suricata Rules](https://github.com/quadrantsec/suricata-rules) - 由 QuadrantSec 发布的一组 Suricata 规则。 - [Cluster25/detection](https://github.com/Cluster25/detection) - Cluster25 的检测规则。 - Networkforensic.dk (NF) 规则集： - [NF IDS rules](https://networkforensic.dk/SNORT/NF-local.zip) - [NF SCADA IDS Rules](https://networkforensic.dk/SNORT/NF-SCADA.zip) - [NF Scanners IDS Rules](https://networkforensic.dk/SNORT/NF-Scanners.zip) - [Quantum Insert detection for Suricata](https://github.com/fox-it/quantuminsert/blob/master/detection/suricata/README.md) - 配合 Fox-IT 的 QUANTUM 2015 博客/BroCon 演讲的 Suricata 规则。 - [Hunting rules](https://github.com/travisbgreen/hunting-rules) - 来自 Travis Green 的用于网络异常检测的 Suricata IDS 警报规则。 - [3CORESec NIDS - Lateral Movement](https://dtection.io/ruleset/3cs_lateral) - 关注横向移动技术的 Suricata 规则集（付费）。 - [3CORESec NIDS - Sinkholes](https://dtection.io/ruleset/3cs_sinkholes) - 专注于精选的公共恶意软件接收点的 Suricata 规则集（免费）。 - [PAW Patrules](https://pawpatrules.fr) - 另一个针对 Suricata 引擎的免费 (CC BY-NC-SA) 规则集合。 - [opnsense-suricata-nmaps](https://github.com/aleksibovellan/opnsense-suricata-nmaps) - OPNSense 抵御 NMAP 扫描的 Suricata IDS/IPS 检测规则。 - [Antiphishing](https://github.com/julioliraup/Antiphishing) - 用于检测网络钓鱼攻击的 Suricata 规则和数据集。 ## 规则/安全内容管理与处理 - [sidallocation.org](https://sidallocation.org/) - Sid 分配工作组，SID 范围列表。 - [Scirius](https://github.com/StamusNetworks/scirius) - 用于 Suricata 规则集管理和威胁狩猎的 Web 应用程序。 - [IOCmite](https://github.com/sebdraven/IOCmite) - 利用 MISP 实例的指标为 Suricata 创建数据集，并在数据集的指标生成警报时向 MISP 添加观测记录的工具。 - [luaevilbit](https://github.com/regit/luaevilbit) - 在 Suricata 的 luajit 中的 Evil bit 实现。 - [Lawmaker](https://www.3coresec.com/solutions/lawmaker) - Suricata IDS 规则和集群管理系统。 - [surify-cli](https://github.com/dgenzer/surify-cli) - 根据 Suricata 模板，从 IOC 集合（JSON、CSV 或标志）生成 Suricata 规则。 - [suricata-prettifier](https://github.com/theY4Kman/suricata-prettifier) - 用于格式化和语法高亮 Suricata 规则的命令行工具。 - [OTX-Suricata](https://github.com/AlienVault-OTX/OTX-Suricata) - 为 Suricata 创建规则和配置，以针对 OTX 账户中的指标发出警报。 - [Aristotle](https://github.com/secureworks/aristotle) - 简单的 Python 程序，允许根据每条规则中 metadata 关键字内解释的键值对，对 Suricata 和 Snort 规则集进行过滤和修改。 ## 插件与扩展 - [suricata-zabbix](https://github.com/catenacyber/suricata-zabbix) - Suricata 的 Zabbix 应用层插件。 ## 使用 Suricata 的系统 - [SELKS](https://github.com/StamusNetworks/SELKS) - 基于 Suricata 的入侵检测系统 / 入侵防御系统 / 网络安全监控发行版。 - [Amsterdam](https://github.com/StamusNetworks/Amsterdam) - 基于 Docker 的 Suricata、Elasticsearch、Logstash、Kibana、Scirius 组合，即 SELKS。 - [pfSense](https://www.pfsense.org) - 免费的网络防火墙发行版，基于 FreeBSD 操作系统和定制内核，并包含用于扩展功能的第三方自由软件包。 - [OPNsense](https://opnsense.org) - 开源、易用且易于构建的基于 FreeBSD 的防火墙和路由平台。 - [Artica](https://github.com/dtouzeau/artica-suricata) - 为 [Artica](https://artica.systems) 网关设备提供的 Suricata IDS 集成。 - [Shovel](https://github.com/dtouzeau/artica-suricata) - 用于探索 Suricata EVE 输出的 Web 界面，主要侧重于 CTF 竞赛中的网络分析。 ## 培训 - [Experimental Suricata Training Environment](https://github.com/jasonish/experimental-suricata-training) - 基于 Docker(-Compose) 的 Suricata 培训环境。 - [CDMCS](https://github.com/ccdcoe/CDMCS/tree/master) - 网络防御监控课程：基于规则的威胁检测。 ## 仿真与测试 - [Leonidas](https://github.com/WithSecureLabs/leonidas) - 云中的自动化攻击仿真，并附带检测用例。 - [speeve](https://github.com/satta/speeve) - 快速、概率性的 EVE-JSON 生成器，用于测试和基准测试使用 EVE 的应用程序。 - [Dalton](https://github.com/secureworks/dalton) - Suricata 和 Snort IDS 规则与 pcap 测试系统。 ## 数据集 - [suricata-sample-data](https://github.com/FrankHassanabad/suricata-sample-data) - 用于创建不同 Suricata 示例数据集的代码库。 ## 杂项 - [Suriwire](https://github.com/regit/suriwire) - 用于显示 Suricata 分析信息的 Wireshark 插件。 - [bash_cata](https://github.com/isMTv/bash_cata) - 一个简单的脚本，可实时处理生成的 Suricata eve-log，并根据警报将 IP 地址添加到 MikroTik 地址列表中指定的时间，以便后续拦截。 - [suriGUI](https://github.com/control-owl/suriGUI) - Suricata + Qubes 的 GUI。 - [SuriGuard](https://github.com/SEc-123/SuriGuard1) - 基于 Web 的 Suricata IDS/IPS 管理系统，具有高级分析和可视化功能。

标签：AMSI绕过, ELK, EVE-JSON, IPS, Kafka, Logstash, Metaprompt, Redis, rizin, SonarQube插件, Suricata, 入侵防御, 内容过滤, 内核模块, 可视化界面, 威胁检测, 威胁检测与响应, 安全引擎, 安全资源, 安全运营, 扫描框架, 搜索引擎查询, 日志审计, 现代安全运营, 系统提示词, 网络安全, 网络流量分析, 自定义请求头, 规则集, 请求拦截, 越狱测试, 逆向工具, 隐私保护