• Suricata IDS/IPS是什麼？
  Suricata是一個開源的網路入侵偵測或防護系統，它會比對封包與規則，當符合某個規則時就會產生警報。
  IDS是入侵偵測系統，會偵測並警告，通常不主動阻擋。
  IPS是入侵防護系統，可以主動封包或阻斷。

• 動手試試
  首先要開Terminal，建一個工作資料夾，安裝Suricata，完成後，建立一個簡單的rules檔案

要偵測所有ICMP封包，產生一條訊息：ICMP detected

接著準備一個測試用pcap（產生測試流量），直接用本機ping

再用Suricata解析pcap（離線分析）

檢視偵測結果jq . ./log/eve.json
就會看到一些警告。

• 心得
  在安裝Suricata的時候，我一開始遇到了下載套件失敗的錯誤訊息，原本以為只是網路問題，但重新嘗試後仍然出現一樣的狀況。後來我上網查資料，才發現有時候是因為版本更新或資源位置改變導致Homebrew找不到套件來源。
  IDS是把可疑事件記錄下來，並可視需要連結SIEM做後續通知或自動化反應，要讓偵測更精準就必須調整規則，減少 false positives。