SELKS
SELKS 10.0 Release
SELKS เป็นแพลตฟอร์มตรวจสอบความปลอดภัย IDS/IPS/เครือข่ายแบบโอเพ่นซอร์สที่ใช้ Debian ฟรี เปิดตัวภายใต้ GPLv3 จาก Stamus Networks (https://www.stamus-networks.com/)
สามารถติดตั้ง SELKS ผ่านนักเทียบท่าเขียนบนระบบปฏิบัติการ Linux หรือ Windows ใดก็ได้ เมื่อติดตั้งแล้ว ก็พร้อมใช้งานทันทีเมื่อนำโซลูชันออกจากกล่อง
นอกจากนี้ SELKS ISO ยังพร้อมใช้งานสำหรับสภาพแวดล้อมที่มีช่องว่างอากาศ หรือการติดตั้ง Bare Metal หรือ VM
SELKS ประกอบด้วยองค์ประกอบหลักดังต่อไปนี้:
S - Suricata IDPS/NSM - https://suricata.io/
E - Elasticsearch - https://www.elastic.co/products/elasticsearch
L - Logstash - https://www.elastic.co/products/logstash
K - Kibana - https://www.elastic.co/products/kibana
S - Scirius - https://github.com/StamusNetworks/scirius
EveBox - https://evebox.org/
อาร์คิเมะ - https://arkime.com/
CyberChef - https://github.com/gchq/CyberChef
ตัวย่อถูกสร้างขึ้นก่อนที่จะเพิ่ม Arkime, EveBox และ CyberChef
และยังมีแดชบอร์ดที่กำหนดค่าไว้ล่วงหน้าดังนี้:
SELKS เป็นการจัดแสดงสิ่งที่ Suricata IDS/IPS/NSM สามารถทำได้ รวมถึงบันทึกการตรวจสอบและการแจ้งเตือนโปรโตคอลเครือข่ายที่สร้างขึ้น ดังนั้นข้อมูลใดๆ และทั้งหมดใน SELKS จึงถูกสร้างขึ้นโดย Suricata:
การใช้ข้อมูล Suricata ได้รับการปรับปรุงเพิ่มเติมโดย Scirius ที่พัฒนาโดย Stamus ซึ่งเป็นอินเทอร์เฟซการค้นหาภัยคุกคาม อินเทอร์เฟซได้รับการออกแบบมาเป็นพิเศษสำหรับเหตุการณ์ Suricata และรวมวิธีการเจาะลึกเพื่อ Pivot เพื่อการสำรวจการแจ้งเตือนและเหตุการณ์ NSM อย่างรวดเร็ว ประกอบด้วยตัวกรองการล่าสัตว์ที่กำหนดไว้ล่วงหน้าและมุมมองบริบทที่ได้รับการปรับปรุง:
ดูตัวอย่างชุดย่อย (ไม่สมบูรณ์) ของบันทึก JSON ดิบที่สร้างโดย Suricata ได้ที่นี่
หากคุณยังใหม่กับ Suricata คุณสามารถอ่านบทความที่เราเขียนเกี่ยวกับอีกด้านหนึ่งของ Suricata ได้
โดยค่าเริ่มต้น SELKS มีแดชบอร์ดเริ่มต้นมากกว่า 28 รายการ การแสดงภาพข้อมูลมากกว่า 400 รายการ และการค้นหาที่กำหนดไว้ล่วงหน้า 24 รายการ
นี่คือการแยกรายการแดชบอร์ด: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-ภาพรวม, SN-RDP, SN-RFB, SN-SANS-MTA-การฝึกอบรม, SN-SIP, SN-SMB, SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN- VLAN, SN-TFTP, SN-TrafficID
การแสดงภาพและแดชบอร์ดเพิ่มเติมยังมีอยู่ในโปรแกรม Events viewer (EveBox)
การกำหนดค่าขั้นต่ำสำหรับการใช้งานจริงคือ 2 คอร์และหน่วยความจำ 9 Gb เนื่องจาก Suricata และ Elastisearch เป็นแบบมัลติเธรด ยิ่งคุณมีคอร์มากเท่าไรก็ยิ่งดีเท่านั้น เกี่ยวกับหน่วยความจำ ยิ่งคุณมีปริมาณข้อมูลในการตรวจสอบมากขึ้นเท่าใด การได้รับหน่วยความจำเพิ่มเติมก็จะน่าสนใจมากขึ้นเท่านั้น
คุณสามารถหมุน SELKS บนระบบปฏิบัติการ Linux หรือ Windows ใดก็ได้ภายในไม่กี่นาทีผ่านการเขียนนักเทียบท่า ดูการติดตั้งนักเทียบท่า
สำหรับสภาพแวดล้อมที่มีช่องว่างอากาศหรือการติดตั้งระบบปฏิบัติการแบบเต็ม โปรดดูการตั้งค่า ISO ของ SELKS
คุณต้องตรวจสอบสิทธิ์ในการเข้าถึงเว็บอินเทอร์เฟซ (ดูส่วน HTTPS access ด้านล่าง) ผู้ใช้/รหัสผ่านเริ่มต้นคือ selks-user/selks-user (รวมถึงผ่านแดชบอร์ดหรือไอคอนเดสก์ท็อป Scirius) คุณสามารถเปลี่ยนข้อมูลประจำตัวและการตั้งค่าผู้ใช้ได้โดยใช้เมนูด้านซ้ายบนใน Scirius
ผู้ใช้ระบบปฏิบัติการเริ่มต้น:
ผู้ใช้: selks-user
รหัสผ่าน: selks-user (รหัสผ่านในโหมด Live live )
รหัสผ่านรูทเริ่มต้นคือ StamusNetworks
หากคุณต้องการเข้าถึงแดชบอร์ดจากระยะไกล (จากพีซีเครื่องอื่นในเครือข่ายของคุณ) คุณสามารถทำได้ดังต่อไปนี้ (ในเบราว์เซอร์ของคุณ):
https://your.selks.IP.here/ - การจัดการชุดกฎ Scirius และจุดศูนย์กลางสำหรับแดชบอร์ดและ EveBox ทั้งหมด
คุณต้องตรวจสอบสิทธิ์เพื่อเข้าถึงเว็บอินเตอร์เฟส ผู้ใช้/รหัสผ่านดีฟอลต์จะเหมือนกับการเข้าถึงในเครื่อง: selks-user/selks-user อย่าลืมเปลี่ยนข้อมูลประจำตัวในการเข้าสู่ระบบครั้งแรก คุณสามารถทำได้โดยไปที่ Account settings ในเมนูแบบเลื่อนลงด้านซ้ายบนของ Scirius
คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับ SELKS wiki: https://github.com/StamusNetworks/SELKS/wiki
คุณสามารถรับความช่วยเหลือเกี่ยวกับ SELKS ได้ที่ช่อง Discord ของเรา https://discord.gg/h5mEdCewvn
หากคุณประสบปัญหา คุณสามารถเปิดตั๋วได้ที่ https://github.com/StamusNetworks/SELKS/issues
แม้ว่า SELKS จะเหมาะเป็นโซลูชันการรักษาความปลอดภัยเครือข่ายที่ใช้งานจริงในองค์กรขนาดเล็กถึงขนาดกลาง และเป็นระบบที่ยอดเยี่ยมในการทดสอบประสิทธิภาพของ Suricata สำหรับการตรวจจับการบุกรุกและการตามล่าภัยคุกคาม แต่ก็ไม่เคยได้รับการออกแบบมาให้ปรับใช้ในองค์กร สำหรับแอปพลิเคชันระดับองค์กร โปรดดูโซลูชันเชิงพาณิชย์ของเรา Stamus Security Platform (SSP)
Stamus Security Platform (SSP) เป็นโซลูชันการตรวจจับและตอบสนองภัยคุกคามบนเครือข่ายเชิงพาณิชย์จาก Stamus Networks แม้ว่าจะยังคงรูปลักษณ์และความรู้สึกเหมือนกับ SELKS ไว้มาก แต่ SSP เป็นระบบที่แตกต่างไปจากเดิมอย่างสิ้นเชิงและจำเป็นต้องติดตั้งซอฟต์แวร์ใหม่
SSP มีจำหน่ายในใบอนุญาตสองระดับ:
กลไกการตรวจจับที่หลากหลายตั้งแต่การเรียนรู้ของเครื่อง การตรวจจับความผิดปกติ และลายเซ็น
“คำประกาศประนีประนอม” ที่มีความแม่นยำสูงพร้อมไทม์ไลน์การโจมตีแบบหลายขั้นตอน
อัปเดตข่าวกรองภัยคุกคามรายสัปดาห์จาก Stamus Labs
ตัวกรองการค้นหาภัยคุกคามขั้นสูงพร้อมคำแนะนำ
ข้อมูลเชิงลึกของโฮสต์ติดตามคุณลักษณะที่เกี่ยวข้องกับความปลอดภัยมากกว่า 60 รายการ
แปลงผลลัพธ์การค้นหาให้เป็นตรรกะการตรวจจับแบบกำหนดเองได้อย่างง่ายดาย
อธิบายได้ชัดเจน ชัดเจน มีหลักฐาน
การจำแนกประเภทอัตโนมัติและการคัดแยกการแจ้งเตือน
การจัดการโพรบหลายตัวจากคอนโซลเดียว
บูรณาการอย่างราบรื่นกับ SOAR, SIEM, XDR, EDR, IR
การดำเนินงานของผู้เช่าหลายราย
การสำรองและกู้คืนการกำหนดค่า
เยี่ยมชมหน้านี้เพื่อขอการสาธิต SSP
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง SELKS และโซลูชันเชิงพาณิชย์ของเรา โปรดอ่าน " การทำความเข้าใจ SELKS และแพลตฟอร์มเชิงพาณิชย์ของ Stamus " ดาวน์โหลดเอกสารไวท์เปเปอร์ที่นี่
