Архитектура плагина Suricata2Cuckoo

Роли компонентов

  • Suricata (IDS на OPNsense) — перехват трафика, срабатывание правил, запись извлечённых файлов в filestore и события (в т.ч. EVE fileinfo при включённом логировании).

  • Плагин Suricata2Cuckoo — по выбранным в GUI протоколам и расширениям генерирует правила file-extract.rules, подключает их к IDS; при Apply синхронизирует с профилем IDS настройки, нужные для цепочки извлечения (в частности file-store и фрагмент EVE по файлам).

  • Демон suricata2cuckoo — один процесс на Perl: наблюдает каталог filestore, при появлении новых файлов вызывает API Cuckoo и ставит образцы на анализ.

  • Cuckoo Sandbox — внешний по отношению к плагину узел с REST API; токен, URL и имя профиля ВМ задаются в GUI плагина.

Поток данных

Трафик на интерфейсах IDS → Suricata извлекает файл по правилам → запись на диск filestore → демон обнаруживает файл → HTTP(S) к Cuckoo → задача анализа. Метаданные сессии (IP, интерфейсы) остаются в логах Suricata; демон в своём журнале фиксирует в основном этапы отправки и ответ API.

Следующая страница: Конфигурация и сценарии настройки Suricata2Cuckoo.