セルクス

SELKS は、Stamus Networks (https://www.stamus-networks.com/) から GPLv3 に基づいてリリースされた、無料のオープンソースの Debian ベースの IDS/IPS/ネットワーク セキュリティ モニタリング プラットフォームです。

SELKS は、Linux または Windows OS 上の docker compose を介してインストールできます。インストールすると、すぐに使用できるソリューションになります。

SELKS ISO は、エアギャップ環境、ベアメタルまたは VM のインストールにも使用できます。

SELKS は次の主要コンポーネントで構成されています。

• S - Suricata IDPS/NSM - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - キバナ - https://www.elastic.co/products/kibana
• S - シリウス - https://github.com/StamusNetworks/scirius
• EveBox - https://evebox.org/
• アルキメ - https://arkime.com/
• Cyber​​Chef - https://github.com/gchq/Cyber​​Chef

この頭字語は、Arkime、EveBox、Cyber​​Chef が追加される前に確立されました。

これには、次のような事前構成されたダッシュボードが含まれています。

SELKS は、Suricata IDS/IPS/NSM の機能と、それが生成するネットワーク プロトコル監視ログとアラートのショーケースです。そのため、SELKS 内のすべてのデータは Suricata によって生成されます。

Suricata データの使用は、Stamus が開発した脅威ハンティング インターフェイスである Sirius によってさらに強化されます。このインターフェイスは Suricata イベント用に特別に設計されており、ピボットへのドリルダウン アプローチを組み合わせて、アラートと NSM イベントを迅速に調査できます。これには、事前定義されたハンティング フィルターと強化されたコンテキスト ビューが含まれています。

Suricata によって生成された生の JSON ログのサブセットの例 (不完全) は、ここにあります。

Suricata を初めて使用する場合は、Suricata の裏側について書いた一連の記事を読むことができます。

SELKS には、デフォルトで 28 を超えるデフォルトのダッシュボード、400 を超えるビジュアライゼーション、および 24 の事前定義された検索が利用可能です。

以下はダッシュボード リストの抜粋です: SN-ALERTS、SN-ALL、SN-ANOMALY、SN-DHCP、SN-DNS、SN-DNP3、SN-FILE-Transactions、SN-FLOW、SN-HTTP、SN-HUNT -1、SN-IDS、SN-IKEv2、SN-KRB5、SN-MQTT、SN-NFS、 SN-概要、SN-RDP、SN-RFB、SN-SANS-MTA-トレーニング、SN-SIP、SN-SMB、SN-SMTP、SN-SNMP、SN-SSH、SN-STATS、SN-TLS、SN- VLAN、SN-TFTP、SN-トラフィックID

Events viewer (EveBox) では、追加の視覚エフェクトとダッシュボードも利用できます。

運用環境で使用するための最小構成は、2 コアと 9 GB のメモリです。 Suricata と Elastisearch はマルチスレッドであるため、コアが多いほど優れています。メモリに関しては、監視するトラフィックが増えるほど、追加のメモリを取得することが重要になります。

docker compose を使用すると、Linux または Windows OS 上で数分で SELKS を起動できます。 「Docker のインストール」を参照してください。

エアギャップ環境または完全な OS インストールについては、「SELKS ISO セットアップ」を参照してください。

Web インターフェイスにアクセスするには認証が必要です (以下のHTTPS accessセクションを参照)。デフォルトのユーザー/パスワードはselks-user/selks-userです (ダッシュボードまたは Scirius デスクトップ アイコンを含む)。 Scirius の左上のメニューを使用して、認証情報とユーザー設定を変更できます。

デフォルトのOSユーザー:

• ユーザー: selks-user
• パスワード: selks-user (ライブモードのパスワードはlive )

デフォルトの root パスワードはStamusNetworksです

(ネットワーク上の別の PC から) ダッシュボードにリモートでアクセスしたい場合は、(ブラウザーで) 次のように実行できます。

• https://your.selks.IP.here/ - Scirius ルールセット管理とすべてのダッシュボードと EveBox の中心ポイント

Web インターフェイスにアクセスするには認証が必要です。デフォルトのユーザー/パスワードはローカル アクセスの場合と同じです: selks-user/selks-user 。最初のログイン時に資格情報を変更することを忘れないでください。これを行うには、Sirius の左上のドロップダウン メニューにあるAccount settingsに移動します。

詳細については、SELKS wiki を参照してください: https://github.com/StamusNetworks/SELKS/wiki

SELKS に関するヘルプは、Discord チャンネル https://discord.gg/h5mEdCewvn で入手できます。

問題が発生した場合は、https://github.com/StamusNetworks/SELKS/issues でチケットを開くことができます。

SELKS は中小規模の組織の実稼働ネットワーク セキュリティ ソリューションとして適しており、侵入検知や脅威ハンティングにおける Suricata の能力をテストするのに最適なシステムですが、企業環境に導入するように設計されたものではありません。エンタープライズ アプリケーションの場合は、商用ソリューションである Stamus Security Platform (SSP) をご確認ください。

Stamus Security Platform (SSP) は、Stamus Networks が提供する商用ネットワークベースの脅威の検出および対応ソリューションです。 SSP は SELKS と同じ外観と操作性をほとんど保持していますが、SSP は完全に異なるシステムであり、新しいソフトウェアのインストールが必要です。

SSP は 2 つのライセンス層で利用可能で、次の機能を提供します。

• 機械学習、異常検出、シグネチャによる複数の検出メカニズム
• 多段階の攻撃タイムラインを備えた高忠実度の「侵害宣言」
• Stamus Labs による毎週の脅威インテリジェンスの更新

• 高度なガイド付き脅威ハンティング フィルター
• ホストの洞察により、60 を超えるセキュリティ関連の属性が追跡されます
• ハント結果をカスタム検出ロジックに簡単に変換
• 証拠を伴う説明可能で透明性のある結果

• 自動分類とアラートトリアージ
• 単一のコンソールから複数のプローブを管理
• SOAR、SIEM、XDR、EDR、IRとのシームレスな統合
• マルチテナント運用
• 設定のバックアップと復元

SSP のデモをリクエストするには、このページにアクセスしてください

SELKS と当社の商用ソリューションの違いについて詳しくは、「 SELKS と Stamus 商用プラットフォームについて」をお読みください。ここからホワイト ペーパーをダウンロードしてください。