IDS Insight - Интерфейс к Suricata на Windows

Локальный интерфейс управления для Suricata на Windows, который преобразует такую мощную IDS с открытым исходным кодом в удобный Windows-инструмент с визуальным управлением. Главное преимущество в возможности добавлять свои ссылки на правила, которые будут устанавливаться в одно нажатие кнопки Обновить правила.

IDS Insight — это десктопное приложение для управления Suricata на локальном компьютере. Оно заменяет работу с консолью визуальным интерфейсом, специально адаптированным под Windows.

Возможности IDS Insight

1. Локальное управление правилами безопасности
(Работа с файлами правил на ПК)
•    Активация/деактивация правил: Включайте отдельные правила или целые наборы одним кликом
•    Импорт пользовательских правил: Добавляйте свои .rules-файлы через диалог выбора
•    Обновление баз: Синхронизация с добавленными пользователем источниками правил
•    Резервные копии: Автосохранение снапшотов перед изменениями конфигурации
•    Поиск по правилам: Фильтрация по SID, содержанию или статусу
2. Визуальный мониторинг событий
(Анализ безопасности в реальном времени)
•    Цветовая дифференциация: Алгоритмы классификации по типу угрозы
•    Гибкая фильтрация:
o    По типу: алерт, DNS, TLS, потоки
o    По времени: произвольные диапазоны (последний час/день/неделя)
•    Контекстный анализ: Детализация события с сырыми данными JSON
•    Живое обновление: Автоматический парсинг eve.json с настраиваемым интервалом
3. Управление сервисом Suricata
(Контроль работы движка)
•    Старт/стоп/перезагрузка: Управление службой через GUI
•    Статус в реальном времени: Индикаторы работы в системном трее
•    Интеграция логов: Просмотр системных сообщений Suricata
•    Настройка имени службы: Адаптация под конфигурацию
4. Конфигурационный менеджер
(Безопасное редактирование suricata.yaml)
•    YAML-редактор с подсветкой: Визуальное выделение синтаксиса
•    Валидация настроек: Проверка корректности перед применением
•    Поиск по конфигу: Быстрая навигация по параметрам
5. Система оперативного реагирования
•    Блокировка IP в 1 клик: Из контекстного меню событий
•    Редактор действий правил: Смена alert → drop/reject
•    Просмотр связанных правил: Поиск по SID из событий
•    История блокировок: Автоматическое ведение gui_drop.rules

Установка Suricata на Windows

Для блокировки нужна версия с поддержкой windivert, то есть в имени установщика должно быть написано windivert.

1.    Скачайте установщик suricata с официального сайта.
2.    Запустите инсталлятор и следуйте инструкциям (рекомендуется установка в C:\Program Files\Suricata)
3.    Настройте базовую конфигурацию:
o    Откройте suricata.yaml в текстовом редакторе
o    Укажите сетевой интерфейс:
af-packet:
  - interface: \Device\NPF_{ВАШ_ID_ИНТЕРФЕЙСА}
o    Проверьте пути к правилам:
default-rule-path: C:\Program Files\Suricata\rules
rule-files: 
  - *.rules
Узнать ID интерфейса можно при помощи PowerShell:
Get-NetAdapter | ForEach-Object {
    "Имя: $($_.Name)"
    "Описание: $($_.InterfaceDescription)"
    "GUID: {$($_.InterfaceGuid)}"
    "ID: \Device\NPF_{$($_.InterfaceGuid)}"
    "--------------------------------"
}
Если используете windivert, тогда нужно добавить:
windivert:
  enabled: yes
  #filter: "icmp or (outbound and ip)"  # ваш фильтр
  forward: no
  service-name: "WinDivert1"  # <- вот это важно!

Весь блок af-packet нужно закомменировать, то есть, до следующего пункта с двоиточием. 
Службу нужно запускать с параметрами -c "C:\Program Files\Suricata\suricata.yaml" --windivert="true"

4.    Протестируйте запуск из командной строки:
suricata.exe -c suricata.yaml -i "Ваш_интерфейс"

Решение проблем со службой через NSSM

Если стандартная служба Suricata не работает, используйте NSSM (Non-Sucking Service Manager):
1.    Скачайте утилиту nssm[.]cc/download
2.    Распакуйте архив и скопируйте nssm.exe в директорию Suricata
3.    Создайте службу через командную строку (администратор):
cd "C:\Program Files\Suricata"
nssm install SuricataService
o    В поле Path: C:\Program Files\Suricata\suricata.exe
o    В поле Arguments: -c suricata.yaml -i "\Device\NPF_{ВАШ_ID}"
o    На вкладке Details задайте имя службы: SuricataService
4.    Запустите службу:
nssm start SuricataService