Module 1
Introduction to Suricata
- Suricata nedir? Snort’tan farkları
- IDS, IPS ve NSM işlevleri
- Suricata’nın çoklu-iş parçacığı (multithreading) mimarisi
- Use case: Modern SOC içinde Suricata’nın rolü
Modüller & İçerik
Eğitim, 12 modülden oluşan kapsamlı ve uygulama ağırlıklı bir yapı sunar. Modüller; Suricata’nın mimarisi, kurulumu ve temel yapılandırması ile başlayarak, kural dili, gelişmiş tespit mekanizmaları ve IPS olarak kullanım senaryolarını kapsar. Eğitim ilerledikçe EVE JSON log yapısı, SIEM/ELK entegrasyonları, trafik analizi ve threat hunting teknikleri detaylı şekilde ele alınır. Son modüllerde performans optimizasyonu, kural seti yönetimi, threat intelligence kaynakları ve gerçek pcap dosyaları üzerinden yapılan hands-on laboratuvarlar yer alır. Bu yapı sayesinde eğitim, Suricata’yı yüksek performanslı, ölçeklenebilir ve SOC uyumlu bir IDS/IPS ve NSM çözümü olarak etkin şekilde kullanabilme yetkinliği kazandırır.
Module 2
Suricata Architecture
- Packet acquisition layers
- Detect Engine
- Flow engine & stream tracking
- Output modules & EVE JSON logs
- Suricata işlem hattı (pipeline) mantığı
Module 3
Installing & Configuring Suricata
- Linux üzerinde Suricata kurulumu
- suricata.yaml yapılandırması
- Interface ayarları & af-packet modu
- Performance tuning temel ayarları
Module 4
Suricata Rule Language Fundamentals
- Rule header yapısı (action, protocol, src/dst)
- Rule options
- HTTP, DNS, TLS modülleri
- Content matching & pcre
Module 5
Advanced Suricata Rule Writing
- Flow & stateful inspection
- Threshold & rate limiting
- Detection modules (http, tls, dns, smb, ftp…)
- Metadata & classification ayarları
Module 6
Suricata as IPS
- Inline IPS modu
- NFQueue kullanımı
- Blocking & shunting
- IPS senaryoları (DoS, brute-force, exploit prevention)
Module 7
Suricata Logging & EVE JSON
- EVE JSON output formatı
- HTTP, TLS, DNS, flow & alert loglarının analizi
- Suricata → ELK/Wazuh/Splunk entegrasyonu
- Real-time threat monitoring
Module 8
Traffic Analysis & Threat Hunting
- Beaconing tespiti
- C2 trafik davranış analizi
- Anormal DNS sorguları
- Malware trafik örnekleri üzerinden pcap analizi
Module 9
File Extraction & Protocol Analysis
- HTTP ve SMTP üzerinden dosya çıkarımı
- Protocol parser mantığı
- TLS fingerprinting (JA3/JA3S)
- Use case: Zararlı dosya çıkartma analizi
Module 10
Performance Optimization
- Multithreading tuning
- Memory ve CPU optimizasyonu
- Capture method kıyaslaması (AF_PACKET vs PF_RING vs DPDK)
- Rule set optimizasyonu
Module 11
Emerging Threats & Rule Sources
- ET Open & ET Pro kuralları
- Community rules yönetimi
- Suricata-update kullanımı
- IOC ve threat intel entegrasyonu
Module 12
Hands-on Labs
- Suricata kurulumu ve ilk alarm
- Custom rule yazımı
- Zero-day davranış analizi
- Inline IPS senaryosu
- ELK/Security Onion entegrasyonu
- Gerçek pcap dosyalarıyla threat hunting