塞尔克斯

SELKS 是一个基于 Debian 的免费开源 IDS/IPS/网络安全监控平台，由 Stamus Networks (https://www.stamus-networks.com/) 根据 GPLv3 发布。

SELKS 可以通过 docker compose 在任何 Linux 或 Windows 操作系统上安装。安装后，即可使用开箱即用的解决方案。

SELKS ISO 还可用于气隙环境或裸机或 VM 安装。

SELKS 由以下主要组件组成：

• S - Suricata IDPS/NSM - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - Kibana - https://www.elastic.co/products/kibana
• S - Scirius - https://github.com/StamusNetworks/scirius
• EveBox - https://evebox.org/
• Arkime - https://arkime.com/
• Cyber​​Chef - https://github.com/gchq/Cyber​​Chef

该缩写词是在 Arkime、EveBox 和 Cyber​​Chef 添加之前建立的。

它包括预配置的仪表板，如下所示：

SELKS 展示了 Suricata IDS/IPS/NSM 的功能及其产生的网络协议监控日志和警报。因此，SELKS 中的所有数据均由 Suricata 生成：

Stamus 开发的 Scirius（一种威胁狩猎界面）进一步增强了 Suricata 数据的使用。该界面专为 Suricata 事件而设计，并结合了向下钻取方法来快速探索警报和 NSM 事件。它包括预定义的搜索过滤器和增强的上下文视图：

可以在此处找到 Suricata 生成的原始 JSON 日志的示例子集（不完整）。

如果您是 Suricata 的新手，您可以阅读我们撰写的有关 Suricata 另一面的一系列文章。

默认情况下，SELKS 拥有超过 28 个默认仪表板、超过 400 个可视化效果和 24 个预定义搜索。

以下是仪表板列表的摘录：SN-ALERTS、SN-ALL、SN-ANOMALY、SN-DHCP、SN-DNS、SN-DNP3、SN-FILE-Transactions、SN-FLOW、SN-HTTP、SN-HUNT -1、SN-IDS、SN-IKEv2、SN-KRB5、SN-MQTT、SN-NFS、SN-概述、 SN-RDP、SN-RFB、SN-SANS-MTA-培训、SN-SIP、SN-SMB、SN-SMTP、SN-SNMP、SN-SSH、SN-STATS、SN-TLS、SN-VLAN、SN- TFTP、SN-TrafficID

Events viewer (EveBox) 中还提供其他可视化效果和仪表板。

生产使用的最低配置是 2 个内核和 9 GB 内存。由于 Suricata 和 Elastisearch 是多线程的，因此拥有的核心越多越好。关于内存，要监控的流量越多，获得一些额外的内存就越有趣。

您可以通过 docker compose 在几分钟内在任何 Linux 或 Windows 操作系统上启动 SELKS。请参阅 Docker 安装。

对于气隙环境或完整操作系统安装，请参阅 SELKS ISO 设置。

您需要进行身份验证才能访问 Web 界面（请参阅下面的HTTPS access部分）。默认用户/密码是selks-user/selks-user （包括通过仪表板或 Scirius 桌面图标）。您可以使用 Scirius 左上方的菜单更改凭据和用户设置。

默认操作系统用户：

• 用户： selks-user
• 密码： selks-user （Live 模式下密码为live ）

默认 root 密码是StamusNetworks

如果您希望远程（从网络上的另一台 PC）访问仪表板，您可以按如下方式操作（在浏览器中）：

• https://your.selks.IP.here/ - Scirius 规则集管理以及所有仪表板和 EveBox 的中心点

您需要进行身份验证才能访问 Web 界面。默认用户/密码与本地访问相同： selks-user/selks-user 。不要忘记在首次登录时更改凭据。您可以通过转到 Scirius 左上角下拉菜单中的Account settings来完成此操作。

您可以在 SELKS wiki 上获取更多信息：https://github.com/StamusNetworks/SELKS/wiki

您可以在我们的 Discord 频道上获取有关 SELKS 的帮助 https://discord.gg/h5mEdCewvn

如果遇到问题，可以在 https://github.com/StamusNetworks/SELKS/issues 上开票

虽然 SELKS 适合作为中小型组织的生产网络安全解决方案，并且是测试 Suricata 入侵检测和威胁追踪功能的出色系统，但它从未被设计为部署在企业环境中。对于企业应用程序，请查看我们的商业解决方案 Stamus 安全平台 (SSP)。

Stamus 安全平台 (SSP) 是 Stamus Networks 推出的基于商业网络的威胁检测和响应解决方案。虽然 SSP 保留了与 SELKS 大部分相同的外观和感觉，但它是一个完全不同的系统，需要安装新的软件。

SSP 提供两个许可证级别，可提供：

• 来自机器学习、异常检测和签名的多种检测机制
• 具有多阶段攻击时间线的高保真“妥协声明”
• Stamus Labs 每周更新威胁情报

• 高级引导式威胁搜寻过滤器
• 主机洞察跟踪 60 多个与安全相关的属性
• 轻松将搜寻结果转换为自定义检测逻辑
• 结果可解释、透明且有证据

• 自动分类和警报分类
• 从单个控制台管理多个探针
• 与 SOAR、SIEM、XDR、EDR、IR 无缝集成
• 多租户运营
• 配置备份与恢复

访问此页面请求 SSP 演示

要了解有关 SELKS 和我们的商业解决方案之间的差异的更多信息，请阅读“了解 SELKS 和 Stamus 商业平台”，在此处下载白皮书。