塞爾克斯

SELKS 是一個基於 Debian 的免費開源 IDS/IPS/網路安全監控平台，由 Stamus Networks (https://www.stamus-networks.com/) 根據 GPLv3 發布。

SELKS 可以透過 docker compose 在任何 Linux 或 Windows 作業系統上安裝。安裝後，即可使用開箱即用的解決方案。

SELKS ISO 也可用於氣隙環境或裸機或 VM 安裝。

SELKS 由以下主要元件組成：

• S - Suricata IDPS/NSM - https://suricata.io/
• E - Elasticsearch - https://www.elastic.co/products/elasticsearch
• L - Logstash - https://www.elastic.co/products/logstash
• K - Kibana - https://www.elastic.co/products/kibana
• S - Scirius - https://github.com/StamusNetworks/scirius
• EveBox - https://evebox.org/
• Arkime - https://arkime.com/
• Cyber​​Chef - https://github.com/gchq/Cyber​​Chef

該縮寫詞是在 Arkime、EveBox 和 Cyber​​Chef 添加之前建立的。

它包括預先配置的儀表板，如下所示：

SELKS 展示了 Suricata IDS/IPS/NSM 的功能及其產生的網路協定監控日誌和警報。因此，SELKS 中的所有資料均由 Suricata 產生：

Stamus 開發的 Scirius（一種威脅狩獵介面）進一步增強了 Suricata 數據的使用。此介面專為 Suricata 事件而設計，並結合了向下鑽取方法來快速探索警報和 NSM 事件。它包括預先定義的搜尋過濾器和增強的上下文視圖：

可以在此處找到 Suricata 產生的原始 JSON 日誌的範例子集（不完整）。

如果您是 Suricata 的新手，您可以閱讀我們撰寫的一系列關於 Suricata 另一面的文章。

預設情況下，SELKS 擁有超過 28 個預設儀表板、超過 400 個視覺化效果和 24 個預定義搜尋。

以下是儀表板清單的摘錄：SN-ALERTS、SN-ALL、SN-ANOMALY、SN-DHCP、SN-DNS、SN-DNP3、SN-FILE-Transactions、SN-FLOW、SN-HTTP、SN-HUNT - 1、SN-IDS、SN-IKEv2、SN-KRB5、SN-MQTT、SN-NFS、SN-概述、SN-RDP、SN-RFB、SN-SANS-MTA-訓練、SN-SIP、SN-SMB 、 SN-SMTP、SN-SNMP、SN-SSH、SN-STATS、SN-TLS、SN-VLAN、SN-TFTP、SN-TrafficID

Events viewer (EveBox) 中也提供其他視覺化效果和儀表板。

生產使用的最低配置是 2 個核心和 9 GB 記憶體。由於 Suricata 和 Elastisearch 是多執行緒的，因此擁有的核心越多越好。關於內存，要監控的流量越多，獲得一些額外的內存就越有趣。

您可以透過 docker compose 在幾分鐘內在任何 Linux 或 Windows 作業系統上啟動 SELKS。請參閱 Docker 安裝。

氣隙環境或完整作業系統安裝，請參閱 SELKS ISO 設定。

您需要進行身份驗證才能存取 Web 介面（請參閱下方的HTTPS access部分）。預設使用者/密碼是selks-user/selks-user （包括透過儀表板或 Scirius 桌面圖示）。您可以使用 Scirius 左上方的選單來變更憑證和使用者設定。

預設作業系統用戶：

• 用戶： selks-user
• 密碼： selks-user （Live 模式下密碼為live ）

預設 root 密碼是StamusNetworks

如果您希望遠端（從網路上的另一台 PC）存取儀表板，您可以按以下方式操作（在瀏覽器中）：

• https://your.selks.IP.here/ - Scirius 規則集管理以及所有儀表板和 EveBox 的中心點

您需要進行身份驗證才能存取 Web 介面。預設使用者/密碼與本機存取相同： selks-user/selks-user 。不要忘記在首次登入時更改憑證。您可以透過前往 Scirius 左上角下拉選單中的Account settings來完成此操作。

您可以在 SELKS wiki 上獲取更多資訊：https://github.com/StamusNetworks/SELKS/wiki

您可以在我們的 Discord 頻道上獲取有關 SELKS 的幫助 https://discord.gg/h5mEdCewvn

如果遇到問題，可以在 https://github.com/StamusNetworks/SELKS/issues 開票

雖然 SELKS 適合作為中小型組織的生產網路安全解決方案，並且是測試 Suricata 入侵偵測和威脅追蹤功能的出色系統，但它從未被設計為部署在企業環境中。對於企業應用程序，請查看我們的商業解決方案 Stamus 安全平台 (SSP)。

Stamus 安全平台 (SSP) 是 Stamus Networks 推出的基於商業網路的威脅偵測和回應解決方案。雖然 SSP 保留了與 SELKS 大部分相同的外觀和感覺，但它是一個完全不同的系統，需要安裝新的軟體。

SSP 提供兩個許可證級別，可提供：

• 來自機器學習、異常檢測和簽名的多種檢測機制
• 具有多階段攻擊時間線的高保真“妥協聲明”
• Stamus Labs 每週更新威脅情報

• 進階引導式威脅搜尋過濾器
• 主機洞察追蹤 60 多個與安全相關的屬性
• 輕鬆將搜尋結果轉換為自訂檢測邏輯
• 結果可解釋、透明且有證據

• 自動分類和警報分類
• 從單一控制台管理多個探針
• 與 SOAR、SIEM、XDR、EDR、IR 無縫集成
• 多租戶營運
• 配置備份與復原

造訪此頁面請求 SSP 演示

要了解有關 SELKS 和我們的商業解決方案之間的差異的更多信息，請閱讀“了解 SELKS 和 Stamus 商業平台”，在此處下載白皮書。