SELKS
SELKS 10.0 Release
SELKS — это бесплатная платформа мониторинга IDS/IPS/Network Security Monitoring на базе Debian с открытым исходным кодом, выпущенная под лицензией GPLv3 от Stamus Networks (https://www.stamus-networks.com/).
SELKS можно установить через Docker Compose в любой ОС Linux или Windows. После установки оно готово к использованию из коробки.
ISO-образы SELKS также доступны для установки в среде с воздушным зазором, на голом металле или в виртуальной машине.
SELKS состоит из следующих основных компонентов:
S — Suricata IDPS/NSM — https://suricata.io/
E – Elasticsearch – https://www.elastic.co/products/elasticsearch
L — Logstash — https://www.elastic.co/products/logstash
К - Кибана - https://www.elastic.co/products/kibana
S — Скирий — https://github.com/StamusNetworks/scirius
ЕвБокс - https://evebox.org/
Аркиме - https://arkime.com/
КиберШеф - https://github.com/gchq/CyberChef
Аббревиатура была создана до добавления Arkime, EveBox и CyberChef.
И он включает в себя предварительно настроенные информационные панели, подобные этой:
SELKS — это демонстрация возможностей Suricata IDS/IPS/NSM, а также журналов мониторинга сетевых протоколов и оповещений, которые они создают. Таким образом, любые данные в SELKS генерируются Suricata:
Использование данных Suricata еще более расширяется благодаря разработанному Stamus Scirius — интерфейсу для поиска угроз. Интерфейс специально разработан для событий Suricata и сочетает в себе подход детализации с возможностью поворота для быстрого изучения предупреждений и событий NSM. Он включает в себя предопределенные фильтры поиска и расширенные контекстные представления:
Пример подмножества (неполных) необработанных журналов JSON, созданных Suricata, можно найти здесь.
Если вы новичок в Suricata, вы можете прочитать серию статей, которые мы написали о «Другой стороне Suricata».
По умолчанию в SELKS имеется более 28 панелей мониторинга, более 400 визуализаций и 24 предопределенных поиска.
Вот выдержка из списка информационных панелей: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT. -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-ОБЗОР, SN-RDP, SN-RFB, SN-SANS-MTA-Обучение, SN-SIP, SN-SMB, SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN- VLAN, SN-TFTP, SN-TrafficID
Дополнительные визуализации и информационные панели также доступны в Events viewer (EveBox).
Минимальная конфигурация для производственного использования — 2 ядра и 9 ГБ памяти. Поскольку Suricata и Elastisearch являются многопоточными, чем больше у вас ядер, тем лучше. Что касается памяти, то чем больше трафика вам нужно отслеживать, тем интереснее будет получить дополнительную память.
Вы можете запустить SELKS в любой операционной системе Linux или Windows за считанные минуты с помощью Docker Compose. См. Установка Docker.
Информацию о среде с воздушным зазором или полной установке ОС см. в разделе Настройка SELKS ISO.
Для доступа к веб-интерфейсу вам необходимо пройти аутентификацию (см. раздел HTTPS access ниже). Пользователь/пароль по умолчанию — selks-user/selks-user (в том числе через значки Dashboards или Scirius на рабочем столе). Вы можете изменить учетные данные и настройки пользователя, используя верхнее левое меню в Scirius.
Пользователь ОС по умолчанию:
пользователь: selks-user
пароль: selks-user (пароль в режиме Live live )
Пароль root по умолчанию — StamusNetworks
Если вы хотите удаленно (с другого компьютера в вашей сети) получить доступ к панелям мониторинга, вы можете сделать это следующим образом (в своем браузере):
https://your.selks.IP.here/ — управление набором правил Scirius и центральная точка для всех информационных панелей и EveBox.
Для доступа к веб-интерфейсу вам необходимо пройти аутентификацию. Пользователь/пароль по умолчанию такие же, как и для локального доступа: selks-user/selks-user . Не забудьте изменить учетные данные при первом входе в систему. Вы можете сделать это, перейдя в Account settings в верхнем левом раскрывающемся меню Scirius.
Дополнительную информацию можно получить на вики SELKS: https://github.com/StamusNetworks/SELKS/wiki.
Вы можете получить помощь по SELKS на нашем канале Discord https://discord.gg/h5mEdCewvn.
Если у вас возникла проблема, вы можете открыть заявку на https://github.com/StamusNetworks/SELKS/issues.
Хотя SELKS подходит в качестве решения для обеспечения безопасности производственной сети в организациях малого и среднего размера и является отличной системой для проверки возможностей Suricata в области обнаружения вторжений и поиска угроз, она никогда не предназначалась для развертывания в корпоративных условиях. Для корпоративных приложений ознакомьтесь с нашим коммерческим решением Stamus Security Platform (SSP).
Stamus Security Platform (SSP) — это коммерческое сетевое решение для обнаружения и реагирования на угрозы от Stamus Networks. Несмотря на то, что SSP сохраняет во многом тот же внешний вид, что и SELKS, это совершенно другая система, требующая установки нового программного обеспечения.
Доступный на двух уровнях лицензии, SSP обеспечивает:
Несколько механизмов обнаружения на основе машинного обучения, обнаружения аномалий и сигнатур.
Высокоточные «Декларации о компромиссе» с многоэтапной временной шкалой атаки
Еженедельные обновления информации об угрозах от Stamus Labs
Расширенные управляемые фильтры поиска угроз
Host Insights отслеживает более 60 атрибутов, связанных с безопасностью.
Легко конвертируйте результаты поиска в пользовательскую логику обнаружения.
Объяснимые и прозрачные результаты с доказательствами
Автоматизированная классификация и сортировка оповещений
Управление несколькими датчиками с одной консоли
Бесшовная интеграция с SOAR, SIEM, XDR, EDR, IR
Мультитенантная работа
Резервное копирование и восстановление конфигурации
Посетите эту страницу, чтобы запросить демо-версию SSP
Чтобы узнать больше о различиях между SELKS и нашими коммерческими решениями, прочтите « Понимание коммерческих платформ SELKS и Stamus ». Загрузите технический документ здесь.
