検知アルゴリズム改善タスク

[01rabbit]

概要

Suricata 署名依存から「署名＋相関＋異常＋TI」のハイブリッド検知へ拡張し、遅延・遮断判定精度を向上させる。

タスクリスト

• Suricata ルール整理
  - custom.rules に不要シグネチャ削除＋用途別コメント
• Lua 拡張
  - delay.lua：速さ×回数で tc/nftables 遅延
  - ja3.lua：JA3/JA4 ブラックリスト照合
  - suricata_lua_setup.sh で Lua スクリプト配置
• Vector＋Python 相関
  - vector.toml で Suricata / OpenCanary を統合
  - correlate.py でスコアリング → Mattermost 通知
• PyOD 異常検知
  - anomaly_train.ipynb で学習
  - anomaly_detect.py 常駐サービス化
• Threat Intel 自動遮断
  - update_ti.sh で AbuseIPDB 等を取得→ti-block.list→nftables
• Suricata 設定更新
  - luajit:・app-layer:（JA3/JA4）・tls EVE 出力有効
• README 追記
  - ハイブリッド検知の概要とセットアップ手順
• 動作検証
  - JA3 一致時アラート・遅延、相関スコア阈値テスト

[01rabbit]

feat: Suricataルールのenable/disableテンプレート自動生成・アップデート統合

• インストーラ（2_install_azazel.sh）に update_suricata_rules 関数を追加
• enable.conf / disable.conf を自動生成し、suricata-update を --no-test で実行
• Suricata 設定テスト・サービス再起動まで一括自動化
• 初回セットアップ直後から一貫したルール適用・運用が可能に

[01rabbit]

feat: Suricata Luaスクリプト自動配置・ルール更新機能をインストーラに統合

• 2_install_azazel.sh に setup_suricata_lua_scripts 関数を追加し、config/suricata/lua/delay.lua および ja3.lua を /etc/suricata/lua へ自動配置・権限セット
• 主要セットアップ完了後に Suricata Lua スクリプトのインストールと Suricata ルールの enable/disable テンプレ生成・自動アップデート・再起動まで一貫自動化
• 初期インストール後ただちにデコイ判定拡張機能とフィルタ済み最新ルールが反映される構成に

[01rabbit]

feat: 相関エンジン＆遅滞アクション機能を追加

• core/suricata_handler.py と core/opencanary_handler.py を実装
• analytics/correlation_engine.py に相関＆スコアリングロジックと process() メソッドを追加
• analytics/main_correlation.py でバッチ的に高リスクIPを検知し、遅滞発動・復旧・通知を実行
• utils/mattermost.py と config/notice.py を共通設定・通知インターフェースとして統合
• run_all.py と main_suricata.py／main_opencanary.py の役割を整理し、即時検知と相関検知を並列運用可に
• パッケージ化対応のため各ディレクトリに init.py を配置