셀크스

SELKS는 Stamus Networks(https://www.stamus-networks.com/)에서 GPLv3에 따라 출시된 무료 오픈 소스 Debian 기반 IDS/IPS/네트워크 보안 모니터링 플랫폼입니다.

SELKS는 모든 Linux 또는 Windows OS에서 docker compose를 통해 설치할 수 있습니다. 일단 설치되면 즉시 사용 가능한 솔루션을 사용할 수 있습니다.

SELKS ISO는 에어 갭 환경이나 베어 메탈 또는 VM 설치에도 사용할 수 있습니다.

SELKS는 다음과 같은 주요 구성 요소로 구성됩니다.

• S - 수리카타 IDPS/NSM - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - Kibana - https://www.elastic.co/products/kibana
• S - Scirius - https://github.com/StamusNetworks/scirius
• 이브박스 - https://evebox.org/
• 아르키메 - https://arkime.com/
• CyberChef - https://github.com/gchq/CyberChef

이 약어는 Arkime, EveBox 및 CyberChef가 추가되기 전에 확립되었습니다.

그리고 여기에는 다음과 같이 사전 구성된 대시보드가 ​​포함되어 있습니다.

SELKS는 Suricata IDS/IPS/NSM이 수행할 수 있는 작업과 네트워크 프로토콜 모니터링 로그 및 경고를 보여주는 쇼케이스입니다. 따라서 SELKS의 모든 데이터는 Suricata에 의해 생성됩니다.

Stamus가 개발한 위협 추적 인터페이스인 Scirius를 통해 Suricata 데이터의 활용도가 더욱 향상되었습니다. 인터페이스는 Suricata 이벤트용으로 특별히 설계되었으며 경고 및 NSM 이벤트를 빠르게 탐색할 수 있도록 피벗에 대한 드릴다운 접근 방식을 결합합니다. 여기에는 사전 정의된 헌팅 필터와 향상된 상황별 보기가 포함됩니다.

Suricata에서 생성된 원시 JSON 로그의 예시 하위 집합(완전하지 않음)은 여기에서 찾을 수 있습니다.

Suricata를 처음 접하시는 분이라면 Suricata의 다른 면에 대해 저희가 쓴 일련의 기사를 읽어보실 수 있습니다.

SELKS에는 기본적으로 28개 이상의 기본 대시보드, 400개 이상의 시각화 및 24개의 사전 정의된 검색 기능이 있습니다.

다음은 대시보드 목록에서 추출한 것입니다: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-개요, SN-RDP, SN-RFB, SN-SANS-MTA-교육, SN-SIP, SN-SMB , SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN-VLAN, SN-TFTP, SN-TrafficID

추가 시각화 및 대시보드는 Events viewer (EveBox)에서도 사용할 수 있습니다.

프로덕션 사용을 위한 최소 구성은 2개 코어와 9Gb 메모리입니다. Suricata와 Elastisearch는 멀티스레드이므로 코어가 많을수록 좋습니다. 메모리와 관련하여 모니터링할 트래픽이 많을수록 추가 메모리를 얻는 것이 더 흥미로울 것입니다.

docker compose를 통해 몇 분 만에 모든 Linux 또는 Windows OS에서 SELKS를 가동할 수 있습니다. Docker 설치를 참조하세요.

에어 갭 환경 또는 전체 OS 설치의 경우 SELKS ISO 설정을 참조하세요.

웹 인터페이스에 액세스하려면 인증이 필요합니다(아래 HTTPS access 섹션 참조). 기본 사용자/비밀번호는 selks-user/selks-user 입니다(대시보드 또는 Scirius 데스크탑 아이콘을 통한 경우 포함). Scirius의 왼쪽 상단 메뉴를 사용하여 자격 증명 및 사용자 설정을 변경할 수 있습니다.

기본 OS 사용자:

• 사용자: selks-user
• 비밀번호: selks-user (라이브 모드의 비밀번호는 live 입니다)

기본 루트 비밀번호는 StamusNetworks 입니다.

원격으로(네트워크의 다른 PC에서) 대시보드에 액세스하려면 다음과 같이 브라우저에서 수행할 수 있습니다.

• https://your.selks.IP.here/ - Scirius 규칙 세트 관리 및 모든 대시보드와 EveBox의 중앙 지점

웹 인터페이스에 액세스하려면 인증이 필요합니다. 기본 사용자/비밀번호는 로컬 액세스와 동일합니다: selks-user/selks-user . 처음 로그인할 때 자격 증명을 변경하는 것을 잊지 마십시오. Scirius의 왼쪽 상단 드롭다운 메뉴에 있는 Account settings 으로 이동하면 됩니다.

SEELKS 위키에서 자세한 정보를 얻을 수 있습니다: https://github.com/StamusNetworks/SELKS/wiki

Discord 채널 https://discord.gg/h5mEdCewvn에서 SELKS에 대한 도움을 받으실 수 있습니다.

문제가 발생하면 https://github.com/StamusNetworks/SELKS/issues에서 티켓을 열 수 있습니다.

SELKS는 중소 규모 조직의 프로덕션 네트워크 보안 솔루션으로 적합하고 침입 탐지 및 위협 사냥을 위해 Suricata의 성능을 테스트하는 훌륭한 시스템이지만 기업 환경에 배포하도록 설계되지 않았습니다. 기업용 애플리케이션의 경우 상용 솔루션인 Stamus Security Platform(SSP)을 검토하세요.

Stamus Security Platform(SSP)은 Stamus Networks의 상용 네트워크 기반 위협 탐지 및 대응 솔루션입니다. SELKS와 동일한 모양과 느낌을 유지하지만 SSP는 완전히 다른 시스템이므로 새로운 소프트웨어를 설치해야 합니다.

두 가지 라이선스 계층으로 제공되는 SSP는 다음을 제공합니다.

• 기계 학습, 이상 탐지 및 서명을 통한 다중 탐지 메커니즘
• 다단계 공격 타임라인을 갖춘 충실도 높은 "침해 선언"
• Stamus Labs의 주간 위협 인텔리전스 업데이트

• 고급 유도형 위협 헌팅 필터
• 호스트 통찰력은 60개 이상의 보안 관련 속성을 추적합니다.
• 헌트 결과를 맞춤형 탐지 로직으로 쉽게 변환
• 증거를 통해 설명 가능하고 투명한 결과

• 자동화된 분류 및 경고 분류
• 단일 콘솔에서 여러 프로브 관리
• SOAR, SIEM, XDR, EDR, IR과의 원활한 통합
• 다중 테넌트 운영
• 구성 백업 및 복원

SSP 데모를 요청하려면 이 페이지를 방문하세요.

SELKS와 상용 솔루션의 차이점에 대해 자세히 알아보려면 " SELKS 및 Stamus 상용 플랫폼 이해 "를 읽어 보십시오. 여기에서 백서를 다운로드하십시오.