سيلك

SELKS عبارة عن منصة مراقبة أمان IDS/IPS/Network مجانية ومفتوحة المصدر قائمة على Debian تم إصدارها بموجب GPLv3 من Stamus Networks (https://www.stamus-networks.com/).

يمكن تثبيت SELKS عبر docker compose على أي نظام تشغيل Linux أو Windows. بمجرد تثبيته، يصبح جاهزًا للاستخدام خارج الصندوق.

تتوفر أيضًا معايير SELKS ISO للبيئة ذات الفجوات الهوائية أو تركيب المعادن العارية أو الأجهزة الافتراضية.

يتكون SELKS من المكونات الرئيسية التالية:

• S - سوريكاتا IDPS/NSM - https://suricata.io/
• هـ - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - لوجستاش - https://www.elastic.co/products/logstash
• ك - كيبانا - https://www.elastic.co/products/kibana
• S - سيريوس - https://github.com/StamusNetworks/sciius
• إيفبوكس - https://evebox.org/
• أركيم - https://arkime.com/
• سايبر شيف - https://github.com/gchq/CyberChef

تم إنشاء الاختصار قبل إضافة Arkime وEveBox وCyberChef.

ويتضمن لوحات معلومات معدة مسبقًا مثل هذه:

SELKS عبارة عن عرض لما يمكن أن تفعله Suricata IDS/IPS/NSM وسجلات مراقبة بروتوكول الشبكة والتنبيهات التي يصدرها. على هذا النحو، يتم إنشاء كافة البيانات الموجودة في SELKS بواسطة Suricata:

تم تعزيز استخدام بيانات Suricata بشكل أكبر من خلال واجهة Scirius التي طورها Stamus، وهي واجهة لصيد التهديدات. تم تصميم الواجهة خصيصًا لأحداث Suricata وتجمع بين نهج التعمق في المحور للاستكشاف السريع للتنبيهات وأحداث NSM. يتضمن مرشحات صيد محددة مسبقًا وعروض سياقية محسنة:

يمكن العثور هنا على مجموعة فرعية (غير كاملة) من سجلات JSON الأولية التي تم إنشاؤها بواسطة Suricata.

إذا كنت جديدًا في سوريكاتا، يمكنك قراءة سلسلة من المقالات التي كتبناها عن الجانب الآخر من سوريكاتا.

يحتوي SELKS بشكل افتراضي على أكثر من 28 لوحة معلومات افتراضية، وأكثر من 400 تصور و24 عملية بحث محددة مسبقًا متاحة.

فيما يلي مقتطف من قائمة لوحات المعلومات: SN-ALERTS، SN-ALL، SN-ANOMALY، SN-DHCP، SN-DNS، SN-DNP3، SN-FILE-Transactions، SN-FLOW، SN-HTTP، SN-HUNT -1، SN-IDS، SN-IKEv2، SN-KRB5، SN-MQTT، SN-NFS، SN-OVERVIEW، SN-RDP، SN-RFB، SN-SANS-MTA-Training، SN-SIP، SN-SMB ، SN-SMTP، SN-SNMP، SN-SSH، SN-STATS، SN-TLS، SN-VLAN، SN-TFTP، SN-TrafficID

تتوفر أيضًا تصورات ولوحات معلومات إضافية في Events viewer (EveBox).

الحد الأدنى من التكوين لاستخدام الإنتاج هو 2 مركزًا و 9 جيجابايت من الذاكرة. نظرًا لأن Suricata وElastisearch متعددي الخيوط، فكلما زاد عدد النوى لديك، كان ذلك أفضل. فيما يتعلق بالذاكرة، كلما زاد عدد الزيارات التي يجب مراقبتها، أصبح الحصول على بعض الذاكرة الإضافية أمرًا مثيرًا للاهتمام.

يمكنك تشغيل SELKS على أي نظام تشغيل Linux أو Windows في دقائق عبر إنشاء عامل الإرساء. راجع تثبيت عامل الميناء.

للتعرف على بيئة فجوات الهواء أو التثبيت الكامل لنظام التشغيل، راجع إعداد SELKS ISO.

تحتاج إلى المصادقة للوصول إلى واجهة الويب (راجع قسم HTTPS access أدناه). المستخدم/كلمة المرور الافتراضية هي selks-user/selks-user (بما في ذلك من خلال لوحات المعلومات أو أيقونات سطح المكتب Scirius). يمكنك تغيير بيانات الاعتماد وإعدادات المستخدم باستخدام القائمة العلوية اليسرى في Scirius.

مستخدم نظام التشغيل الافتراضي:

• المستخدم: selks-user
• كلمة المرور: selks-user (كلمة المرور في الوضع المباشر live )

كلمة مرور الجذر الافتراضية هي StamusNetworks

إذا كنت ترغب في الوصول عن بعد (من جهاز كمبيوتر مختلف على شبكتك) إلى لوحات المعلومات، فيمكنك القيام بذلك على النحو التالي (في متصفحك):

• https://your.selks.IP.here/ - إدارة مجموعة قواعد Scirius ونقطة مركزية لجميع لوحات المعلومات وEveBox

تحتاج إلى المصادقة للوصول إلى واجهة الويب. المستخدم/كلمة المرور الافتراضية هي نفسها المستخدمة للوصول المحلي: selks-user/selks-user . لا تنس تغيير بيانات الاعتماد عند تسجيل الدخول لأول مرة. يمكنك القيام بذلك عن طريق الانتقال إلى Account settings في القائمة المنسدلة العلوية اليسرى في Scirius.

يمكنك الحصول على مزيد من المعلومات حول SELKS wiki: https://github.com/StamusNetworks/SELKS/wiki

يمكنك الحصول على مساعدة حول SELKS على قناة Discord الخاصة بنا https://discord.gg/h5mEdCewvn

إذا واجهت مشكلة، يمكنك فتح تذكرة على https://github.com/StamusNetworks/SELKS/issues

في حين أن SELKS مناسب كحل لأمن شبكات الإنتاج في المؤسسات الصغيرة والمتوسطة الحجم وهو نظام رائع لاختبار قوة Suricata لاكتشاف التسلل ومطاردة التهديدات، إلا أنه لم يتم تصميمه مطلقًا ليتم نشره في بيئة المؤسسة. بالنسبة لتطبيقات المؤسسات، يرجى مراجعة حلنا التجاري، Stamus Security Platform (SSP).

Stamus Security Platform (SSP) هو الحل التجاري القائم على الشبكة للكشف عن التهديدات والاستجابة لها من Stamus Networks. على الرغم من أنه يحتفظ بالكثير من نفس الشكل والمظهر مثل SELKS، إلا أن SSP هو نظام مختلف تمامًا ويتطلب تثبيت برنامج جديد.

متوفر في مستويين من الترخيص، يوفر SSP ما يلي:

• آليات الكشف المتعددة من التعلم الآلي، والكشف عن الشذوذ، والتوقيعات
• "إعلانات التسوية" عالية الدقة مع جدول زمني متعدد المراحل للهجوم
• تحديثات استخباراتية أسبوعية حول التهديدات من Stamus Labs

• المرشحات المتقدمة لصيد التهديدات الموجهة
• تتتبع رؤى المضيف أكثر من 60 سمة متعلقة بالأمان
• قم بتحويل نتائج البحث بسهولة إلى منطق اكتشاف مخصص
• نتائج قابلة للتفسير وشفافة مع الأدلة

• التصنيف الآلي وفرز التنبيه
• إدارة تحقيقات متعددة من وحدة تحكم واحدة
• التكامل السلس مع SOAR، SIEM، XDR، EDR، IR
• عملية متعددة المستأجرين
• النسخ الاحتياطي للتكوين واستعادته

قم بزيارة هذه الصفحة لطلب عرض توضيحي لـ SSP

لمعرفة المزيد حول الاختلافات بين SELKS وحلولنا التجارية، يرجى قراءة " فهم منصات SELKS وStamus التجارية " وتنزيل المستند التقني هنا.