SELKS
SELKS 10.0 Release
SELKS ist eine kostenlose und Open-Source-Debian-basierte IDS/IPS/Netzwerk-Sicherheitsüberwachungsplattform, die unter GPLv3 von Stamus Networks (https://www.stamus-networks.com/) veröffentlicht wurde.
SELKS kann über Docker Compose auf jedem Linux- oder Windows-Betriebssystem installiert werden. Nach der Installation ist die Lösung sofort einsatzbereit.
SELKS ISOs sind auch für Umgebungen mit Luftspalt oder für Bare-Metal- oder VM-Installationen erhältlich.
SELKS besteht aus den folgenden Hauptkomponenten:
Das Akronym entstand vor der Hinzufügung von Arkime, EveBox und CyberChef.
Und es enthält vorkonfigurierte Dashboards wie dieses:
SELKS ist ein Beispiel dafür, was Suricata IDS/IPS/NSM leisten kann und welche Netzwerkprotokoll-Überwachungsprotokolle und Warnungen es erzeugt. Daher werden alle Daten in SELKS von Suricata generiert:
Die Nutzung von Suricata-Daten wird durch das von Stamus entwickelte Scirius, eine Schnittstelle zur Bedrohungssuche, weiter verbessert. Die Schnittstelle wurde speziell für Suricata-Ereignisse entwickelt und kombiniert einen Drilldown-Ansatz mit Pivot für eine schnelle Untersuchung von Warnungen und NSM-Ereignissen. Es umfasst vordefinierte Suchfilter und erweiterte Kontextansichten:
Eine beispielhafte Teilmenge (nicht vollständig) der von Suricata generierten JSON-Rohprotokolle finden Sie hier.
Wenn Sie neu in Suricata sind, können Sie eine Reihe von Artikeln lesen, die wir über die andere Seite von Suricata geschrieben haben.
SELKS verfügt standardmäßig über 28 Standard-Dashboards, mehr als 400 Visualisierungen und 24 vordefinierte Suchen.
Hier ist ein Auszug aus der Dashboard-Liste: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-OVERVIEW, SN-RDP, SN-RFB, SN-SANS-MTA-Training, SN-SIP, SN-SMB, SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN-VLAN, SN-TFTP, SN-TrafficID
Zusätzliche Visualisierungen und Dashboards sind auch im Events viewer (EveBox) verfügbar.
Die Mindestkonfiguration für die Produktionsnutzung beträgt 2 Kerne und 9 GB Arbeitsspeicher. Da Suricata und Elastisearch Multithread-fähig sind, ist es umso besser, je mehr Kerne Sie haben. In Bezug auf den Speicher gilt: Je mehr Datenverkehr Sie überwachen müssen, desto interessanter wird es, zusätzlichen Speicher zu erhalten.
Sie können SELKS in wenigen Minuten über Docker Compose auf jedem Linux- oder Windows-Betriebssystem starten. Siehe Docker-Installation.
Informationen zur Air-Gap-Umgebung oder zur vollständigen Betriebssysteminstallation finden Sie unter SELKS ISO Setup.
Sie müssen sich authentifizieren, um auf die Weboberfläche zuzugreifen (siehe Abschnitt HTTPS access unten). Der Standardbenutzer/das Standardkennwort lautet selks-user/selks-user (auch über die Dashboards oder Scirius-Desktopsymbole). Sie können Anmeldeinformationen und Benutzereinstellungen ändern, indem Sie das Menü oben links in Scirius verwenden.
Standard-Betriebssystembenutzer:
selks-userselks-user (Passwort im Live-Modus ist live ) Das Standard-Root-Passwort ist StamusNetworks
Wenn Sie remote (von einem anderen PC in Ihrem Netzwerk) auf die Dashboards zugreifen möchten, können Sie dies wie folgt tun (in Ihrem Browser):
Für den Zugriff auf die Weboberfläche ist eine Authentifizierung erforderlich. Der Standardbenutzer/das Standardkennwort ist derselbe wie für den lokalen Zugriff: selks-user/selks-user . Vergessen Sie nicht, Ihre Zugangsdaten bei der ersten Anmeldung zu ändern. Sie können dies tun, indem Sie im oberen linken Dropdown-Menü von Scirius zu Account settings gehen.
Weitere Informationen erhalten Sie im SELKS-Wiki: https://github.com/StamusNetworks/SELKS/wiki
Hilfe zu SELKS erhalten Sie auf unserem Discord-Kanal https://discord.gg/h5mEdCewvn
Wenn Sie auf ein Problem stoßen, können Sie ein Ticket unter https://github.com/StamusNetworks/SELKS/issues eröffnen
Während sich SELKS als Sicherheitslösung für Produktionsnetzwerke in kleinen und mittleren Unternehmen eignet und ein großartiges System ist, um die Leistungsfähigkeit von Suricata bei der Erkennung von Eindringlingen und der Bedrohungssuche zu testen, wurde es nie für den Einsatz in einer Unternehmensumgebung konzipiert. Für Unternehmensanwendungen sehen Sie sich bitte unsere kommerzielle Lösung Stamus Security Platform (SSP) an.
Stamus Security Platform (SSP) ist die kommerzielle netzwerkbasierte Bedrohungserkennungs- und Reaktionslösung von Stamus Networks. Während es weitgehend das gleiche Erscheinungsbild und Verhalten wie SELKS behält, ist SSP ein völlig anderes System und erfordert eine neue Softwareinstallation.
SSP ist in zwei Lizenzstufen erhältlich und bietet:
Besuchen Sie diese Seite, um eine Demo von SSP anzufordern
Um mehr über die Unterschiede zwischen SELKS und unseren kommerziellen Lösungen zu erfahren, lesen Sie bitte „ Grundlegendes zu den kommerziellen Plattformen von SELKS und Stamus “. Laden Sie das Whitepaper hier herunter.
