instalamos suricata

QUE ARCHIVOS
/etc/suricata/suricata.yaml ? Configuración principal (obligatorio). Define interfaces, reglas, logs, etc.
/etc/suricata/rules/ ? Carpeta de reglas (donde se almacenan las firmas de detección). Suricata carga todos los archivos .rules de aquí.


TESTEAR
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Testea la configuración de Suricata antes de iniciarlo. Es un "test de sintaxis" crítico.
Desglose:
-T ? Modo Test (valida y prueba la configuración sin ejecutar el IDS).
-c /etc/suricata/suricata.yaml ? Especifica la ruta del archivo de configuración.
-v ? Modo verbose (muestra detalles del proceso de prueba).




EL ARCHIVO
En el suricata.yaml típico, el primer nivel (raíz) contiene palabras clave principales que definen secciones grandes. Las más comunes son:
vars ? Variables y grupos (redes, puertos).
outputs ? Configuración de logs (eve.log, fast.log, etc.).
logging ? Configuración general de logging (ahora a menudo dentro de outputs).
app-layer ? Protocolos de capa de aplicación.
af-packet / pf-ring ? Interfaces de captura de tráfico.
rule-files ? Lista de archivos de reglas a cargar.
default-rule-path ? Ruta donde buscar reglas.


Configuración:
¿Qué pones en HOME_NET?
Pones el rango IP completo de tu red local interna (la que proteges), usando notación CIDR (IP/máscara).
Cambias eth0 por enp0s8 a la que sea en tu máquina
Haz que eve-log esté habilitado.

REGLAS
En default-rule-path, puedes encontrar donde se encuentran las reglas.
Esta sección define qué archivos específicos de texto debe cargar Suricata al iniciar. Mientras que default-rule-path indica la carpeta donde residen, rule-files es la lista de nombres de archivos dentro de esa ruta que el motor leerá.
/etc/suricata/rules/
rule-files es una lista explicita de que archivos de reglas leer=

Que es una regla?
PONEMOS UNA REGLA
alert icmp any any -> any any (msg:"PING DETECTADO"; sid:1000001; rev:1;)
alert: Acción que genera el aviso.
icmp: Protocolo que usa el comando ping.
any any -> any any: Detecta desde cualquier origen hacia cualquier destino.
sid:1000001: Identificador único obligatorio (los números superiores a un millón se usan para reglas locales/manuales).
El campo rev (revisión) indica la versión de la regla


Se registrará en fast.log y en eve.json
fast.log: Es el archivo más sencillo. Registra alertas en una sola línea de texto plano (ideal para humanos).
eve.json: Es el archivo más completo. Guarda alertas y metadatos en formato JSON, diseñado para ser procesado por herramientas externas.

ABRIMOS UNA SEGUNDA MÁQUINA Y HACEMOS PING

sudo tail -f /var/log/suricata/fast.log en el servidor de suricata