SELKS
SELKS 10.0 Release
SELKS は、Stamus Networks (https://www.stamus-networks.com/) から GPLv3 に基づいてリリースされた、無料のオープンソースの Debian ベースの IDS/IPS/ネットワーク セキュリティ モニタリング プラットフォームです。
SELKS は、Linux または Windows OS 上の docker compose を介してインストールできます。インストールすると、すぐに使用できるソリューションになります。
SELKS ISO は、エアギャップ環境、ベアメタル、または VM のインストールにも使用できます。
SELKS は次の主要コンポーネントで構成されています。
S - Suricata IDPS/NSM - https://suricata.io/
E - Elasticsearch - https://www.elastic.co/products/elasticsearch
L - Logstash - https://www.elastic.co/products/logstash
K - キバナ - https://www.elastic.co/products/kibana
S - シリウス - https://github.com/StamusNetworks/scirius
EveBox - https://evebox.org/
アルキメ - https://arkime.com/
CyberChef - https://github.com/gchq/CyberChef
この頭字語は、Arkime、EveBox、CyberChef が追加される前に確立されました。
これには、次のような事前構成されたダッシュボードが含まれています。
SELKS は、Suricata IDS/IPS/NSM の機能と、それが生成するネットワーク プロトコル監視ログとアラートのショーケースです。そのため、SELKS 内のすべてのデータは Suricata によって生成されます。
Suricata データの使用は、Stamus が開発した脅威ハンティング インターフェイスである Sirius によってさらに強化されます。このインターフェイスは Suricata イベント用に特別に設計されており、ピボットへのドリルダウン アプローチを組み合わせて、アラートと NSM イベントを迅速に調査できます。これには、事前定義されたハンティング フィルターと強化されたコンテキスト ビューが含まれています。
Suricata によって生成された生の JSON ログのサブセットの例 (不完全) は、ここにあります。
Suricata を初めて使用する場合は、Suricata の裏側について書いた一連の記事を読むことができます。
SELKS には、デフォルトで 28 を超えるデフォルトのダッシュボード、400 を超えるビジュアライゼーション、および 24 の事前定義された検索が利用可能です。
以下はダッシュボード リストの抜粋です: SN-ALERTS、SN-ALL、SN-ANOMALY、SN-DHCP、SN-DNS、SN-DNP3、SN-FILE-Transactions、SN-FLOW、SN-HTTP、SN-HUNT -1、SN-IDS、SN-IKEv2、SN-KRB5、SN-MQTT、SN-NFS、 SN-概要、SN-RDP、SN-RFB、SN-SANS-MTA-トレーニング、SN-SIP、SN-SMB、SN-SMTP、SN-SNMP、SN-SSH、SN-STATS、SN-TLS、SN- VLAN、SN-TFTP、SN-トラフィックID
Events viewer (EveBox) では、追加の視覚エフェクトとダッシュボードも利用できます。
運用環境で使用するための最小構成は、2 コアと 9 GB のメモリです。 Suricata と Elastisearch はマルチスレッドであるため、コアが多いほど優れています。メモリに関しては、監視するトラフィックが増えるほど、追加のメモリを取得することが重要になります。
docker compose を使用して、Linux または Windows OS 上で数分で SELKS を起動できます。 「Docker のインストール」を参照してください。
エアギャップ環境または完全な OS インストールについては、「SELKS ISO セットアップ」を参照してください。
Web インターフェイスにアクセスするには認証が必要です (以下のHTTPS accessセクションを参照)。デフォルトのユーザー/パスワードはselks-user/selks-userです (ダッシュボードまたは Scirius デスクトップ アイコンを含む)。 Scirius の左上のメニューを使用して、資格情報とユーザー設定を変更できます。
デフォルトのOSユーザー:
ユーザー: selks-user
パスワード: selks-user (ライブモードのパスワードはlive )
デフォルトの root パスワードはStamusNetworksです
(ネットワーク上の別の PC から) ダッシュボードにリモートでアクセスしたい場合は、(ブラウザーで) 次のように実行できます。
https://your.selks.IP.here/ - Scirius ルールセット管理とすべてのダッシュボードと EveBox の中心ポイント
Web インターフェイスにアクセスするには認証が必要です。デフォルトのユーザー/パスワードはローカル アクセスの場合と同じです: selks-user/selks-user 。最初のログイン時に資格情報を変更することを忘れないでください。これを行うには、Sirius の左上のドロップダウン メニューにあるAccount settingsに移動します。
詳細については、SELKS wiki を参照してください: https://github.com/StamusNetworks/SELKS/wiki
SELKS に関するヘルプは、Discord チャンネル https://discord.gg/h5mEdCewvn で入手できます。
問題が発生した場合は、https://github.com/StamusNetworks/SELKS/issues でチケットを開くことができます。
SELKS は中小規模の組織の実稼働ネットワーク セキュリティ ソリューションとして適しており、侵入検知や脅威ハンティングにおける Suricata の能力をテストするのに最適なシステムですが、企業環境に導入するように設計されたものではありません。エンタープライズ アプリケーションの場合は、商用ソリューションである Stamus Security Platform (SSP) をご確認ください。
Stamus Security Platform (SSP) は、Stamus Networks が提供する商用ネットワークベースの脅威の検出および対応ソリューションです。 SELKS と同じ外観と操作性をほとんど保持していますが、SSP は完全に異なるシステムであり、新しいソフトウェアのインストールが必要です。
SSP は 2 つのライセンス層で利用可能で、次の機能を提供します。
機械学習、異常検出、シグネチャによる複数の検出メカニズム
多段階の攻撃タイムラインを備えた高忠実度の「侵害宣言」
Stamus Labs による毎週の脅威インテリジェンスの更新
高度なガイド付き脅威ハンティング フィルター
ホストの洞察により、60 を超えるセキュリティ関連の属性が追跡されます
ハント結果をカスタム検出ロジックに簡単に変換
証拠を伴う説明可能で透明性のある結果
自動分類とアラートトリアージ
単一のコンソールから複数のプローブを管理
SOAR、SIEM、XDR、EDR、IRとのシームレスな統合
マルチテナント運用
設定のバックアップと復元
SSP のデモをリクエストするには、このページにアクセスしてください
SELKS と当社の商用ソリューションの違いについて詳しくは、「 SELKS と Stamus 商用プラットフォームについて」をお読みください。ここからホワイト ペーパーをダウンロードしてください。
