SELKS
SELKS 10.0 Release
SELKS é uma plataforma de monitoramento de segurança de rede/IDS/IPS/Network baseada em Debian, gratuita e de código aberto, lançada sob GPLv3 pela Stamus Networks (https://www.stamus-networks.com/).
SELKS pode ser instalado via docker compose em qualquer sistema operacional Linux ou Windows. Depois de instalado, ele está pronto para usar a solução pronta para uso.
SELKS ISOs também estão disponíveis para ambientes com falta de ar ou instalações bare metal ou VM.
SELKS é composto pelos seguintes componentes principais:
S - Suricata IDPS/NSM - https://suricata.io/
E - Elasticsearch - https://www.elastic.co/products/elasticsearch
L - Logstash - https://www.elastic.co/products/logstash
K - Kibana - https://www.elastic.co/products/kibana
S - Scirius - https://github.com/StamusNetworks/scirius
EveBox - https://evebox.org/
Arkime - https://arkime.com/
CyberChef - https://github.com/gchq/CyberChef
A sigla foi criada antes da adição de Arkime, EveBox e CyberChef.
E inclui painéis pré-configurados como este:
SELKS é uma vitrine do que Suricata IDS/IPS/NSM pode fazer e dos logs e alertas de monitoramento de protocolo de rede que ele produz. Como tal, todo e qualquer dado no SELKS é gerado pelo Suricata:
O uso de dados Suricata é aprimorado ainda mais pelo Scirius desenvolvido pela Stamus, uma interface de caça a ameaças. A interface foi projetada especificamente para eventos Suricata e combina uma abordagem de detalhamento para dinamizar a exploração rápida de alertas e eventos NSM. Inclui filtros de caça predefinidos e visualizações contextuais aprimoradas:
Um exemplo de subconjunto (não completo) de logs JSON brutos gerados pelo Suricata pode ser encontrado aqui.
Se você é novo no Suricata, pode ler uma série de artigos que escrevemos sobre O outro lado do Suricata.
SELKS tem por padrão mais de 28 painéis padrão, mais de 400 visualizações e 24 pesquisas predefinidas disponíveis.
Aqui está um extrato da lista de painéis: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-OVERVIEW, SN-RDP, SN-RFB, SN-SANS-MTA-Treinamento, SN-SIP, SN-SMB, SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN- VLAN, SN-TFTP, SN-TrafficID
Visualizações e painéis adicionais também estão disponíveis no Events viewer (EveBox).
A configuração mínima para uso em produção é de 2 núcleos e 9 Gb de memória. Como Suricata e Elastisearch são multithread, quanto mais núcleos você tiver, melhor será. Em relação à memória, quanto mais tráfego para monitorar você tiver, mais interessante será obter alguma memória extra.
Você pode ativar o SELKS em qualquer sistema operacional Linux ou Windows em minutos por meio do docker compose. Consulte Instalação do Docker.
Para ambiente com falta de ar ou instalação completa do sistema operacional, consulte SELKS ISO Setup.
Você precisa se autenticar para acessar a interface da web (veja a seção HTTPS access abaixo). O usuário/senha padrão é selks-user/selks-user (inclusive por meio dos painéis ou ícones da área de trabalho do Scirius). Você pode alterar as credenciais e configurações do usuário usando o menu superior esquerdo do Scirius.
Usuário padrão do sistema operacional:
usuário: selks-user
senha: selks-user (a senha no modo Live é live )
A senha root padrão é StamusNetworks
Se desejar acessar remotamente (a partir de um PC diferente em sua rede) os painéis, você pode fazer isso da seguinte maneira (em seu navegador):
https://your.selks.IP.here/ - Gerenciamento do conjunto de regras Scirius e um ponto central para todos os painéis e EveBox
Você precisa se autenticar para acessar a interface da web. O usuário/senha padrão é o mesmo do acesso local: selks-user/selks-user . Não se esqueça de alterar as credenciais no primeiro login. Você pode fazer isso acessando Account settings no menu suspenso superior esquerdo do Scirius.
Você pode obter mais informações no wiki SELKS: https://github.com/StamusNetworks/SELKS/wiki
Você pode obter ajuda sobre SELKS em nosso canal Discord https://discord.gg/h5mEdCewvn
Se você encontrar um problema, poderá abrir um ticket em https://github.com/StamusNetworks/SELKS/issues
Embora o SELKS seja adequado como solução de segurança de rede de produção em organizações de pequeno e médio porte e seja um ótimo sistema para testar o poder do Suricata na detecção de invasões e caça a ameaças, ele nunca foi projetado para ser implantado em um ambiente empresarial. Para aplicações empresariais, consulte nossa solução comercial, Stamus Security Platform (SSP).
Stamus Security Platform (SSP) é a solução comercial de detecção e resposta a ameaças baseada em rede da Stamus Networks. Embora mantenha a mesma aparência do SELKS, o SSP é um sistema completamente diferente e requer uma nova instalação de software.
Disponível em dois níveis de licença, o SSP oferece:
Vários mecanismos de detecção de aprendizado de máquina, detecção de anomalias e assinaturas
“Declarações de compromisso” de alta fidelidade com cronograma de ataque em vários estágios
Atualizações semanais de inteligência contra ameaças do Stamus Labs
Filtros avançados de caça a ameaças guiadas
Host insights rastreia mais de 60 atributos relacionados à segurança
Converta facilmente os resultados da busca em lógica de detecção personalizada
Resultados explicáveis e transparentes com evidências
Classificação automatizada e triagem de alertas
Gerenciamento de vários probes a partir de um único console
Integração perfeita com SOAR, SIEM, XDR, EDR, IR
Operação multilocatário
Backup e restauração de configuração
Visite esta página para solicitar uma demonstração do SSP
Para saber mais sobre as diferenças entre SELKS e nossas soluções comerciais, leia " Compreendendo as plataformas comerciais SELKS e Stamus " Baixe o white paper aqui.
