Hunting com SELKS

SELKS é uma plataforma de monitoramento de segurança de rede/IDS/IPS baseada em Debian, gratuita e de código aberto, lançada sob GPLv3 pela Stamus Networks ( https://www.stamus-networks.com/ ).

https://www.stamus-networks.com/selks

SELKS é um conjunto de Suricata, Elasticsearch, Logstash, Kibana e Scirius

Para quem é o SELKS?

Para muitas organizações de pequeno a médio porte, o SELKS pode ser uma solução adequada de monitoramento de segurança de rede (NSM) e detecção de intrusão (IDS) de nível de produção.
E como todos os dados disponíveis no SELKS são gerados pelo mecanismo Suricata, o SELKS é amplamente usado por profissionais de segurança de rede, pesquisadores, educadores, estudantes e amadores para explorar o que é possível com o Suricata IDS/IPS/NSM e os logs e alertas de monitoramento de protocolo de rede que ele produz. 

Instalação básica

Configuração mínima de trabalho:

  • 2 núcleos
  • 10 GB de RAM livre
  • mínimo de 10 GB de espaço livre em disco (a ocupação real do disco dependerá principalmente do número de regras e da quantidade de tráfego na rede). Recomenda-se SSD de 200 GB ou mais.

A instalação é muito simples e podemos consultar detalhes em https://github.com/StamusNetworks/SELKS

git clone https://github.com/StamusNetworks/SELKS.git
cd SELKS/docker/
./easy-setup.sh
sudo -E docker compose up -d

Depois que os contêineres estiverem instalados e funcionando, você pode acessar no seu navegador para https://seuIP/ Se você escolheu instalar o Portainer durante a instalação, você deve visitar 
https://SeuIP:9443para definir a senha de administrador do Portainer.

Credenciais e login

Para acessar o scirius, você precisará das seguintes credenciais:

  • usuário:selks-user
  • senha:selks-user

Importando PCAP

Para fazer a ingestão de um PCAP eu usei os seguintes comandos

docker cp seu_arquivo.pcap suricata:/mnt/pcaps
docker exec -it suricata bash
suricata -r /mnt/pcaps/seu_arquivo.pcap -v  --runmode=autofp
exit

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*