Koen1999/vscode-suricata-check-extension
GitHub: Koen1999/vscode-suricata-check-extension
一款 VS Code 扩展,为 Suricata IDS/IPS 规则提供无需引擎依赖的静态分析和最佳实践检查能力。
Stars: 2 | Forks: 0
# Suricata 检查
`suricata-check` 是一个命令行工具,用于提供关于 [Suricata](https://github.com/OISF/suricata) 规则的反馈。
该工具可以检测各种问题,包括语法有效性、可解释性、规则特异性、规则覆盖范围和效率等方面。
## 功能
`suricata-check` 提供以下功能:
- 无需安装 Suricata 即可在任何操作系统上进行静态分析
- 检测以下相关问题:
- - 缺少强制性选项
- - 偏离 Suricata Style Guide 最佳实践
- - - 缺少/非标准 metadata 字段、性能问题等
- - 缺乏规则覆盖范围和特异性
- [易于通过自定义检查器扩展](https://suricata-check.teuwen.net/checker.html)
有关完整概述,请查看 [文档](https://suricata-check.teuwen.net/)。
## 配置
### 选项 1:`suricata-check.ini` 配置
您可以通过在工作区中创建一个名为 `suricata-check.ini` 的文件,为 `suricata-check` 创建项目级配置。
`suricata-check.ini` 的内容可以配置如下:
```
[suricata-check]
issue-severity="INFO"
include=["M.*", "S.*", "C.*"]
exclude=["S800"]
```
### 选项 2:CLI 参数
您可以使用 VS Code 中的 `suricata-check.args` 配置选项向 [`suricata-check` CLI](https://suricata-check.teuwen.net/cli_usage.html) 传递参数。
例如,添加 `"suricata-check.args": ["--issue-severity=WARNING"]` 将只显示严重性为 WARNING 或更高的问题。
也可以使用 `--include` 和 `--exclude` 选项启用或禁用单个或成组的代码,这些选项也接受正则表达式。
例如,以下配置将包含所有关于强制性 Suricata 选项的问题以及所有基于 Suricata Style Guide 的问题,但 S800 除外,该规则规定 `attack_target` 为强制性 metadata 选项:
```
"suricata-check.args": [
"--issue-severity=INFO",
"--include=M.*",
"--include=S.*",
"--include=C.*",
"--exclude=S800",
]
```
### 其他配置选项
有关可用命令行选项的完整概述,请查看 [CLI 参考](https://suricata-check.teuwen.net/cli.html)。
## 针对单个规则抑制问题
您可以通过向 `metadata` 选项添加 `suricata-check` 关键字来针对每个规则抑制问题。
例如,`metadata: suricata-check "C.*";` 将为放置注释后的规则禁用所有 Community 检查器。
更多详情可在 [关于抑制规则的文档](https://suricata-check.teuwen.net/ignore.html) 中找到。
## 性能
为了获得最佳性能,我们建议将 `suricata-check.importStrategy` 设置为 `fromEnvironment`,并使用 `regex` 通过 `pip install -U suricata-check[performance]` 将 `suricata-check` 安装到您的环境中。更多详情请查看 [VSCode 扩展文档页面](https://suricata-check.teuwen.net/vscode.html)。
## 替代分发版
Suricata check 也可以作为 [命令行工具](https://suricata-check.teuwen.net/cli_usage.html) 使用,它甚至提供 [与 CI/CD 流水线的集成](https://suricata-check.teuwen.net/ci_cd.html)。
当作为 [PyPI Python 包](https://pypi.org/project/suricata-check) 安装时,您还可以使用 [该模块暴露的 API](https://suricata-check.teuwen.net/api_usage.html)。
## 注意
[此仓库](https://github.com/Koen1999/vscode-suricata-check-extension) 仅托管包含 Language Server Protocol 实现的 VS Code 扩展,以便在集成开发环境 (IDE) 中提供代码检查功能。您可以在 [这里](https://github.com/Koen1999/suricata-check) 找到主仓库。
您可以在 [Visual Studio Marketplace](https://marketplace.visualstudio.com/items?itemName=Koen1999.suricata-check) 上找到此扩展的发布版本。
标签:AMSI绕过, IPS, Linting, Metaprompt, Snort-like, SOC Prime, Suricata, Suricata Style Guide, VS Code 扩展, 云安全监控, 威胁检测, 威胁检测与响应, 开发工具, 性能优化, 检测绕过, 现代安全运营, 网络安全, 规则检查, 规则覆盖率, 语法检查, 逆向工具, 隐私保护, 静态分析