Болтушкин Л.С., группа 712-2, лабораторная 8
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
РАБОТА С СИСТЕМОЙ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ С ОТКРЫТЫМ ИСХОДНЫМ КОДОМ
Отчет по лабораторной работе №8
по дисциплине «Мониторинг безопасности автоматизированных и телекоммуникационных систем»
Выполнил:
Студент гр. 712-2
_______ Л.С. Болтушкин
_______ 2026
Руководитель
Преподаватель кафедры КИБЭВС
_______ А.В. Ли
_______ 2026
Введение
Целью данной лабораторной работы является изучение процесса установки, настройки и конфигурирования системы обнаружения вторжений Suricata, а также интеграции с инструментами сбора и анализа данных Filebeat и Kibana для визуализации сетевых событий, анализа журналов и мониторинга активности в реальном времени.
1 ХОД РАБОТЫ
1 Настройка Suricata
Перед установкой системы обнаружения вторжений была выполнена команда, для добавления репозитория с Suricata (рисунок 1.1).
Рисунок 1.1 – Добавление репозитория
После добавления репозитория была обновлена система и установлена программа с помощью двух команд: sudo apt update и sudo apt install -y suricata (рисунок 1.2).
Рисунок 1.2 – Установка Suricata
Далее был извлечен набор правил Emerging Threats Suricata для запуска, настройки и конфигурирования (рисунок 1.3 – 1.5).
Рисунок 1.3 – Извлечение правил (часть 1)
Рисунок 1.4 – Извлечение правил (часть 2)
Рисунок 1.5 – Извлечение правил (часть 3)
Далее в файле были изменены настройки Suricata, задав переменные нового IP, в двух строках (рисунок 1.6 – 1.7).
Рисунок 1.6 – Настройка конфигурационного файла (часть 1)
Рисунок 1.7 – Настройка конфигурационного файла (часть 2)
Следующим шагом исправлен «Interface», который представляет сетевой интерфейс отслеживания, а после в строке types прописано следующее (рисунок 1.8 – 1.9).
Рисунок 1.8 – Применение «Interface»
Рисунок 1.9 – Продолжение настройки
2 Модули Filebeat
Filebeat имеет встроенные модули, они упрощают сбор, анализ и визуализацию распространенных форматов журналов. Чтобы активировать модуль необходимо ввести команду: sudo filebeat modules enable suricata.
Далее выполнена настройка конфигураций для корректной работы Filebeat с логами Suricata и интеграции с Elasticsearch с помощью команды: sudo filebeat setup --pipelines --modules suricata (рисунок 2.1).
Рисунок 2.1 – Настройка конфигурации
3 Просмотр журнала в Kibana
Для дальнейшей работы используется ранее созданная учетная запись в Kibana. После входа в Kibana верхнем поле поиска требуется ввести «Suricata host» (рисунок 3.1).
Рисунок 3.1 – Поиск запроса «Suricata host»
После выбора «Host stats» на панели изображен график статистики по хостам (рисунок 3.2).
Рисунок 3.2 – Отсутствие визуализации статистики хостов
На рисунке 3.3 представлен дашборд, где находится информация об общем количестве событий за определенный период времени (за последние 15 минут), также на визуализации показан график типов активности. Диаграмма показывает распределение событий по времени, которое классифицируется по типам событий. На графике хостов показаны хосты, которые генерируют наибольшее количество событий. Такие графики позволяют быстро определить самые активные устройства, находящиеся в сети.
Рисунок 3.3 – Дашборд
В поисковой строке показан поиск популярных протоколов (рисунок 3.4).
Рисунок 3.4 – Поисковая строка протоколов
Заключение
В ходе выполнения данной лабораторной работы были изучены процессы установки, настройки и конфигурирования системы обнаружения вторжений Suricata, а также интеграции с инструментами сбора и анализа данных Filebeat и Kibana для визуализации сетевых событий, анализа журналов и мониторинга активности в реальном времени.
Томск 2026