SELS
SELKS 10.0 Release
SELKS est une plate-forme gratuite et open source de surveillance IDS/IPS/Network Security basée sur Debian et publiée sous GPLv3 par Stamus Networks (https://www.stamus-networks.com/).
SELKS peut être installé via Docker Compose sur n'importe quel système d'exploitation Linux ou Windows. Une fois installé, il est prêt à être utilisé, solution prête à l'emploi.
Les ISO SELKS sont également disponibles pour les environnements à espacement d'air ou les installations nues ou VM.
SELKS est composé des principaux composants suivants :
L'acronyme a été établi avant l'ajout d'Arkime, EveBox et CyberChef.
Et il comprend des tableaux de bord préconfigurés comme celui-ci :
SELKS est une vitrine de ce que Suricata IDS/IPS/NSM peut faire et des journaux et alertes de surveillance du protocole réseau qu'il produit. En tant que telles, toutes les données de SELKS sont générées par Suricata :
L'utilisation des données Suricata est encore améliorée par Scirius développé par Stamus, une interface de chasse aux menaces. L'interface est spécialement conçue pour les événements Suricata et combine une approche approfondie pour pivoter pour une exploration rapide des alertes et des événements NSM. Il comprend des filtres de chasse prédéfinis et des vues contextuelles améliorées :
Un exemple de sous-ensemble (non complet) de journaux JSON bruts générés par Suricata peut être trouvé ici.
Si vous êtes nouveau sur Suricata, vous pouvez lire une série d'articles que nous avons écrits sur L'autre côté de Suricata.
SELKS dispose par défaut de plus de 28 tableaux de bord par défaut, plus de 400 visualisations et 24 recherches prédéfinies disponibles.
Voici un extrait de la liste des tableaux de bord : SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-OVERVIEW, SN-RDP, SN-RFB, SN-SANS-MTA-Formation, SN-SIP, SN-SMB , SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN-VLAN, SN-TFTP, SN-TrafficID
Des visualisations et tableaux de bord supplémentaires sont également disponibles dans la Events viewer (EveBox).
La configuration minimale pour une utilisation en production est de 2 cœurs et 9 Go de mémoire. Comme Suricata et Elastisearch sont multithread, plus vous avez de cœurs, mieux c'est. Concernant la mémoire, plus vous avez de trafic à surveiller, plus obtenir de la mémoire supplémentaire sera intéressant.
Vous pouvez lancer SELKS sur n’importe quel système d’exploitation Linux ou Windows en quelques minutes via Docker Compose. Voir Installation de Docker.
Pour un environnement à air isolé ou une installation complète du système d'exploitation, voir Configuration ISO SELKS.
Vous devez vous authentifier pour accéder à l'interface Web (voir la section HTTPS access ci-dessous). L'utilisateur/mot de passe par défaut est selks-user/selks-user (y compris via les tableaux de bord ou les icônes du bureau Scirius). Vous pouvez modifier les informations d'identification et les paramètres utilisateur en utilisant le menu en haut à gauche de Scirius.
Utilisateur du système d'exploitation par défaut :
selks-userselks-user (le mot de passe en mode Live est live ) Le mot de passe root par défaut est StamusNetworks
Si vous souhaitez accéder à distance (depuis un autre PC de votre réseau) aux tableaux de bord, vous pouvez le faire comme suit (dans votre navigateur) :
Vous devez vous authentifier pour accéder à l'interface Web. L'utilisateur/mot de passe par défaut est le même que pour l'accès local : selks-user/selks-user . N'oubliez pas de modifier vos identifiants lors de la première connexion. Vous pouvez le faire en accédant aux Account settings dans le menu déroulant en haut à gauche de Scirius.
Vous pouvez obtenir plus d'informations sur le wiki SELKS : https://github.com/StamusNetworks/SELKS/wiki
Vous pouvez obtenir de l'aide sur SELKS sur notre chaîne Discord https://discord.gg/h5mEdCewvn
Si vous rencontrez un problème, vous pouvez ouvrir un ticket sur https://github.com/StamusNetworks/SELKS/issues
Même si SELKS convient comme solution de sécurité des réseaux de production dans les petites et moyennes organisations et constitue un excellent système pour tester la puissance de Suricata en matière de détection des intrusions et de chasse aux menaces, il n'a jamais été conçu pour être déployé dans un environnement d'entreprise. Pour les applications d'entreprise, veuillez consulter notre solution commerciale, Stamus Security Platform (SSP).
Stamus Security Platform (SSP) est la solution commerciale de détection et de réponse aux menaces basée sur le réseau de Stamus Networks. Bien qu'il conserve en grande partie la même apparence que SELKS, SSP est un système complètement différent et nécessite une nouvelle installation de logiciel.
Disponible en deux niveaux de licence, SSP offre :
Visitez cette page pour demander une démo de SSP
Pour en savoir plus sur les différences entre SELKS et nos solutions commerciales, veuillez lire « Comprendre les plateformes commerciales SELKS et Stamus » Téléchargez le livre blanc ici.
