เซลส์

SELKS เป็นแพลตฟอร์มตรวจสอบความปลอดภัย IDS/IPS/เครือข่ายแบบโอเพ่นซอร์สที่ใช้ Debian ฟรี เปิดตัวภายใต้ GPLv3 จาก Stamus Networks (https://www.stamus-networks.com/)

สามารถติดตั้ง SELKS ผ่านนักเทียบท่าเขียนบนระบบปฏิบัติการ Linux หรือ Windows ใดก็ได้ เมื่อติดตั้งแล้ว ก็พร้อมใช้งานทันทีเมื่อนำโซลูชันออกจากกล่อง

นอกจากนี้ SELKS ISO ยังพร้อมใช้งานสำหรับสภาพแวดล้อมที่มีช่องว่างอากาศ หรือการติดตั้ง Bare Metal หรือ VM

SELKS ประกอบด้วยองค์ประกอบหลักดังต่อไปนี้:

• S - Suricata IDPS/NSM - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - Kibana - https://www.elastic.co/products/kibana
• S - Scirius - https://github.com/StamusNetworks/scirius
• EveBox - https://evebox.org/
• อาร์คิเมะ - https://arkime.com/
• CyberChef - https://github.com/gchq/CyberChef

ตัวย่อถูกสร้างขึ้นก่อนที่จะมีการเพิ่ม Arkime, EveBox และ CyberChef

และยังมีแดชบอร์ดที่กำหนดค่าไว้ล่วงหน้าดังนี้:

SELKS เป็นการจัดแสดงสิ่งที่ Suricata IDS/IPS/NSM สามารถทำได้ รวมถึงบันทึกการตรวจสอบและการแจ้งเตือนโปรโตคอลเครือข่ายที่สร้างขึ้น ดังนั้นข้อมูลใดๆ และทั้งหมดใน SELKS จึงถูกสร้างขึ้นโดย Suricata:

การใช้ข้อมูล Suricata ได้รับการปรับปรุงเพิ่มเติมโดย Scirius ที่พัฒนาโดย Stamus ซึ่งเป็นอินเทอร์เฟซการค้นหาภัยคุกคาม อินเทอร์เฟซได้รับการออกแบบมาเป็นพิเศษสำหรับเหตุการณ์ Suricata และรวมวิธีการเจาะลึกเพื่อ Pivot เพื่อการสำรวจการแจ้งเตือนและเหตุการณ์ NSM อย่างรวดเร็ว ประกอบด้วยตัวกรองการล่าสัตว์ที่กำหนดไว้ล่วงหน้าและมุมมองบริบทที่ได้รับการปรับปรุง:

คุณสามารถดูชุดย่อย (ไม่สมบูรณ์) ของบันทึก JSON ดิบที่สร้างโดย Suricata ได้ที่นี่

หากคุณยังใหม่กับ Suricata คุณสามารถอ่านบทความที่เราเขียนเกี่ยวกับอีกด้านหนึ่งของ Suricata ได้

โดยค่าเริ่มต้น SELKS มีแดชบอร์ดเริ่มต้นมากกว่า 28 รายการ การแสดงภาพมากกว่า 400 รายการ และการค้นหาที่กำหนดไว้ล่วงหน้า 24 รายการ

นี่คือการแยกรายการแดชบอร์ด: SN-ALERTS, SN-ALL, SN-ANOMALY, SN-DHCP, SN-DNS, SN-DNP3, SN-FILE-Transactions, SN-FLOW, SN-HTTP, SN-HUNT -1, SN-IDS, SN-IKEv2, SN-KRB5, SN-MQTT, SN-NFS, SN-ภาพรวม, SN-RDP, SN-RFB, SN-SANS-MTA-การฝึกอบรม, SN-SIP, SN-SMB , SN-SMTP, SN-SNMP, SN-SSH, SN-STATS, SN-TLS, SN-VLAN, SN-TFTP, SN-TrafficID

การแสดงภาพและแดชบอร์ดเพิ่มเติมยังมีอยู่ในโปรแกรม Events viewer (EveBox)

การกำหนดค่าขั้นต่ำสำหรับการใช้งานจริงคือ 2 คอร์และหน่วยความจำ 9 Gb เนื่องจาก Suricata และ Elastisearch เป็นแบบมัลติเธรด ยิ่งคุณมีคอร์มากเท่าไรก็ยิ่งดีเท่านั้น เกี่ยวกับหน่วยความจำ ยิ่งคุณมีปริมาณข้อมูลในการตรวจสอบมากขึ้นเท่าใด การได้รับหน่วยความจำเพิ่มเติมก็จะน่าสนใจมากขึ้นเท่านั้น

คุณสามารถหมุน SELKS บนระบบปฏิบัติการ Linux หรือ Windows ใดก็ได้ภายในไม่กี่นาทีผ่านการเขียนนักเทียบท่า ดูการติดตั้งนักเทียบท่า

สำหรับสภาพแวดล้อมที่มีช่องว่างอากาศหรือการติดตั้งระบบปฏิบัติการแบบเต็ม โปรดดูการตั้งค่า ISO ของ SELKS

คุณต้องตรวจสอบสิทธิ์เพื่อเข้าถึงเว็บอินเทอร์เฟซ (ดูส่วน HTTPS access ด้านล่าง) ผู้ใช้/รหัสผ่านเริ่มต้นคือ selks-user/selks-user (รวมถึงผ่านแดชบอร์ดหรือไอคอนเดสก์ท็อป Scirius) คุณสามารถเปลี่ยนข้อมูลรับรองและการตั้งค่าผู้ใช้ได้โดยใช้เมนูด้านซ้ายบนใน Scirius

ผู้ใช้ระบบปฏิบัติการเริ่มต้น:

• ผู้ใช้: selks-user
• รหัสผ่าน: selks-user (รหัสผ่านในโหมด Live live )

รหัสผ่านรูทเริ่มต้นคือ StamusNetworks

หากคุณต้องการเข้าถึงแดชบอร์ดจากระยะไกล (จากพีซีเครื่องอื่นในเครือข่ายของคุณ) คุณสามารถทำได้ดังต่อไปนี้ (ในเบราว์เซอร์ของคุณ):

• https://your.selks.IP.here/ - การจัดการชุดกฎ Scirius และจุดศูนย์กลางสำหรับแดชบอร์ดและ EveBox ทั้งหมด

คุณต้องตรวจสอบสิทธิ์เพื่อเข้าถึงเว็บอินเตอร์เฟส ผู้ใช้/รหัสผ่านดีฟอลต์จะเหมือนกับการเข้าถึงในเครื่อง: selks-user/selks-user อย่าลืมเปลี่ยนข้อมูลประจำตัวในการเข้าสู่ระบบครั้งแรก คุณสามารถทำได้โดยไปที่ Account settings ในเมนูแบบเลื่อนลงด้านซ้ายบนของ Scirius

คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับ SELKS wiki: https://github.com/StamusNetworks/SELKS/wiki

คุณสามารถรับความช่วยเหลือเกี่ยวกับ SELKS ได้ที่ช่อง Discord ของเรา https://discord.gg/h5mEdCewvn

หากคุณพบปัญหา คุณสามารถเปิดตั๋วได้ที่ https://github.com/StamusNetworks/SELKS/issues

แม้ว่า SELKS จะเหมาะเป็นโซลูชันรักษาความปลอดภัยเครือข่ายที่ใช้งานจริงในองค์กรขนาดเล็กถึงขนาดกลาง และเป็นระบบที่ยอดเยี่ยมในการทดสอบประสิทธิภาพของ Suricata สำหรับการตรวจจับการบุกรุกและการค้นหาภัยคุกคาม แต่ก็ไม่เคยได้รับการออกแบบมาให้ปรับใช้ในการตั้งค่าองค์กร สำหรับแอปพลิเคชันระดับองค์กร โปรดดูโซลูชันเชิงพาณิชย์ของเรา Stamus Security Platform (SSP)

Stamus Security Platform (SSP) เป็นโซลูชันการตรวจจับและตอบสนองภัยคุกคามบนเครือข่ายเชิงพาณิชย์จาก Stamus Networks แม้ว่าจะยังคงรูปลักษณ์และความรู้สึกเหมือนกับ SELKS ไว้มาก แต่ SSP เป็นระบบที่แตกต่างไปจากเดิมอย่างสิ้นเชิงและจำเป็นต้องติดตั้งซอฟต์แวร์ใหม่

SSP มีจำหน่ายในใบอนุญาตสองระดับ:

• กลไกการตรวจจับที่หลากหลายตั้งแต่การเรียนรู้ของเครื่อง การตรวจจับความผิดปกติ และลายเซ็น
• “คำประกาศประนีประนอม” ที่มีความแม่นยำสูงพร้อมไทม์ไลน์การโจมตีแบบหลายขั้นตอน
• อัปเดตข่าวกรองภัยคุกคามรายสัปดาห์จาก Stamus Labs

• ตัวกรองการค้นหาภัยคุกคามขั้นสูงพร้อมคำแนะนำ
• ข้อมูลเชิงลึกของโฮสต์ติดตามคุณลักษณะที่เกี่ยวข้องกับความปลอดภัยมากกว่า 60 รายการ
• แปลงผลลัพธ์การค้นหาให้เป็นตรรกะการตรวจจับแบบกำหนดเองได้อย่างง่ายดาย
• อธิบายผลได้โปร่งใสพร้อมหลักฐาน

• การจำแนกประเภทอัตโนมัติและการคัดแยกการแจ้งเตือน
• การจัดการโพรบหลายตัวจากคอนโซลเดียว
• บูรณาการอย่างราบรื่นกับ SOAR, SIEM, XDR, EDR, IR
• การดำเนินงานของผู้เช่าหลายราย
• การสำรองและกู้คืนการกำหนดค่า

เยี่ยมชมหน้านี้เพื่อขอการสาธิต SSP

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง SELKS และโซลูชันเชิงพาณิชย์ของเรา โปรดอ่าน " การทำความเข้าใจ SELKS และแพลตฟอร์มเชิงพาณิชย์ของ Stamus " ดาวน์โหลดเอกสารไวท์เปเปอร์ที่นี่