SELLOS

SELKS es una plataforma IDS/IPS/Network Security Monitoring basada en Debian gratuita y de código abierto lanzada bajo GPLv3 de Stamus Networks (https://www.stamus-networks.com/).

SELKS se puede instalar a través de Docker Compose en cualquier sistema operativo Linux o Windows. Una vez instalado, está listo para usar la solución lista para usar.

Los SELKS ISO también están disponibles para entornos con espacios de aire o instalación de metal desnudo o VM.

SELKS se compone de los siguientes componentes principales:

• S - IDPS/NSM de Suricata - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - Kibana - https://www.elastic.co/products/kibana
• S - Escirio - https://github.com/StamusNetworks/scirius
• EveBox-https://evebox.org/
• Arkime-https://arkime.com/
• CyberChef: https://github.com/gchq/CyberChef

El acrónimo se estableció antes de la incorporación de Arkime, EveBox y CyberChef.

E incluye paneles preconfigurados como este:

SELKS es una muestra de lo que Suricata IDS/IPS/NSM puede hacer y los registros de monitoreo y alertas del protocolo de red que produce. Como tal, todos y cada uno de los datos en SELKS son generados por Suricata:

El uso de los datos de Suricata se ve mejorado aún más gracias a Scirius, una interfaz de búsqueda de amenazas desarrollada por Stamus. La interfaz está diseñada específicamente para eventos de Suricata y combina un enfoque de profundización para pivotar para una exploración rápida de alertas y eventos de NSM. Incluye filtros de caza predefinidos y vistas contextuales mejoradas:

Puede encontrar un subconjunto de ejemplo (no completo) de registros JSON sin procesar generados por Suricata aquí.

Si eres nuevo en Suricata, puedes leer una serie de artículos que escribimos sobre El otro lado de Suricata.

SELKS tiene por defecto más de 28 paneles predeterminados, más de 400 visualizaciones y 24 búsquedas predefinidas disponibles.

Aquí hay un extracto de la lista de paneles: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-OVERVIEW, SN-RDP, SN-RFB, SN-SANS-MTA-Training, SN-SIP, SN-SMB, SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN-VLAN, SN-TFTP, SN-TrafficID

También hay visualizaciones y paneles adicionales disponibles en el Events viewer (EveBox).

La configuración mínima para uso en producción es de 2 núcleos y 9 Gb de memoria. Como Suricata y Elastisearch son multiproceso, cuantos más núcleos tenga, mejor. En cuanto a la memoria, cuanto más tráfico tenga para monitorear, más interesante será obtener memoria adicional.

Puede activar SELKS en cualquier sistema operativo Linux o Windows en minutos a través de Docker Compose. Consulte Instalación de Docker.

Para un entorno con espacio libre o una instalación completa del sistema operativo, consulte Configuración ISO de SELKS.

Debe autenticarse para acceder a la interfaz web (consulte la sección HTTPS access a continuación). El usuario/contraseña predeterminado es selks-user/selks-user (incluso a través de los íconos del escritorio de Dashboards o Scirius). Puede cambiar las credenciales y la configuración de usuario utilizando el menú superior izquierdo en Scirius.

Usuario predeterminado del sistema operativo:

• usuario: selks-user
• contraseña: selks-user (la contraseña en el modo en vivo es live )

La contraseña raíz predeterminada es StamusNetworks

Si desea acceder de forma remota (desde una PC diferente en su red) a los paneles, puede hacerlo de la siguiente manera (en su navegador):

• https://your.selks.IP.here/ - Gestión del conjunto de reglas de Scirius y un punto central para todos los paneles y EveBox

Debe autenticarse para acceder a la interfaz web. El usuario/contraseña predeterminado es el mismo que para el acceso local: selks-user/selks-user . No olvide cambiar las credenciales al iniciar sesión por primera vez. Puede hacerlo yendo a Account settings en el menú desplegable superior izquierdo de Scirius.

Puede obtener más información en la wiki de SELKS: https://github.com/StamusNetworks/SELKS/wiki

Puede obtener ayuda sobre SELKS en nuestro canal de Discord https://discord.gg/h5mEdCewvn

Si encuentra un problema, puede abrir un ticket en https://github.com/StamusNetworks/SELKS/issues

Si bien SELKS es adecuado como solución de seguridad de red de producción en organizaciones pequeñas y medianas y es un excelente sistema para probar el poder de Suricata para la detección de intrusiones y la búsqueda de amenazas, nunca fue diseñado para implementarse en un entorno empresarial. Para aplicaciones empresariales, revise nuestra solución comercial, Stamus Security Platform (SSP).

Stamus Security Platform (SSP) es la solución comercial de respuesta y detección de amenazas basada en red de Stamus Networks. Si bien conserva gran parte de la misma apariencia que SELKS, SSP es un sistema completamente diferente y requiere la instalación de un nuevo software.

Disponible en dos niveles de licencia, SSP ofrece:

• Múltiples mecanismos de detección de aprendizaje automático, detección de anomalías y firmas.
• “Declaraciones de compromiso” de alta fidelidad con cronograma de ataque de varias etapas
• Actualizaciones semanales de inteligencia sobre amenazas de Stamus Labs

• Filtros avanzados de búsqueda de amenazas guiados
• Host Insights rastrea más de 60 atributos relacionados con la seguridad
• Convierta fácilmente los resultados de la búsqueda en una lógica de detección personalizada
• Resultados explicables y transparentes con evidencia.

• Clasificación automatizada y triaje de alertas
• Gestión de múltiples sondas desde una única consola.
• Integración perfecta con SOAR, SIEM, XDR, EDR, IR
• Operación multiinquilino
• Copia de seguridad y restauración de la configuración.

Visite esta página para solicitar una demostración de SSP

Para obtener más información sobre las diferencias entre SELKS y nuestras soluciones comerciales, lea " Comprensión de SELKS y las plataformas comerciales Stamus ". Descargue el documento técnico aquí.