Module 1
Introduction to Intrusion Detection Systems
- IDS/IPS nedir?
- Signature-based vs anomaly-based detection
- Snort’ın mimarisi ve kullanım alanları
- NIDS, HIDS, IPS kavramları
Modüller & İçerik
Eğitim, 12 modülden oluşan uygulama ağırlıklı bir yapıdadır. Modüller; IDS/IPS kavramları ve Snort mimarisi ile başlayarak, Snort kurulumu, çalışma modları ve konfigürasyon mantığını kapsar. Eğitim ilerledikçe kural yazımı (rule writing), gelişmiş tespit teknikleri, preprocessors kullanımı ve Snort’un IPS olarak konumlandırılması detaylı şekilde ele alınır. Son aşamalarda ise trafik analizi, performans optimizasyonu, SIEM entegrasyonu ve gerçek saldırı senaryolarına dayalı hands-on laboratuvarlar yer alır. Bu yapı sayesinde katılımcılar, Snort’u operasyonel ortamlarda etkin, ölçeklenebilir ve yönetilebilir bir IDS/IPS çözümü olarak kullanabilecek yetkinliği kazanır.
Module 2
Snort Architecture & Components
- Packet Decoder
- Preprocessors
- Detection Engine
- Output Modules
- Snort çalışma modları: sniffer, packet logger, NIDS
Module 3
Installing & Configuring Snort
- Linux üzerinde Snort kurulumu
- Snort klasör yapısı
- snort.conf temel ayarları
- Rule path, preprocessors, output ayarları
Module 4
Snort Modes of Operation
- Sniffer mode
- Packet logger mode
- NIDS mode
- Komut satırı seçenekleri
Module 5
Writing Snort Rules (Fundamentals)
- Rule header yapısı (action, protocol, src/dst IP/port)
- Rule options
- Content matching
- PCRE (regex) kullanımı
Module 6
Advanced Rule Writing
- Flow, flags, metadata
- Depth, offset, fast_pattern
- Thresholding & suppression
- Exploit tabanlı kural yazımı
Module 7
Preprocessors
- Frag3, Stream5, HTTP Inspect
- Normalization
- Preprocessor alarmlarının analizi
Module 8
Snort as IPS
- Inline mode çalışma mantığı
- IPS policy yönetimi
- Block/allowlist kavramları
- Test senaryoları
Module 9
Logging & Output Modules
- Unified2 output
- Barnyard2 entegrasyonu
- Log yönetimi
- SIEM entegrasyonu (Splunk/ELK/Wazuh)
Module 10
Traffic Analysis & Detection
- Port scan tespiti
- Brute force tespiti
- Web saldırılarının tespiti (XSS, SQLi)
- Malware beaconing davranışı
Module 11
Snort Performance Tuning
- Rule optimizasyonu
- Latency & packet drop analizi
- Sensor konumlandırma
- High availability tasarımı
Module 12
Hands-on Labs
- Snort kurulumu ve ilk alarm
- Özel rule geliştirme laboratuvarı
- Dosya transferi, brute force ve scan tespiti
- Inline IPS testleri
- SIEM entegrasyon senaryosu