Mostrador de Notícias

Hunting com SELKS

9 de outubro de 2024 Daniel Donda Cybersecurity, Threat Hunting 0

SELKS é uma plataforma de monitoramento de segurança de rede/IDS/IPS baseada em Debian, gratuita e de código aberto, lançada sob GPLv3 pela Stamus Networks ( https://www.stamus-networks.com/ ).

SELKS é um conjunto de Suricata, Elasticsearch, Logstash, Kibana e Scirius

S – Suricata IDPS/NSM – https://suricata.io/
E – Elasticsearch – https://www.elastic.co/products/elasticsearch
L – Logstash – https://www.elastic.co/products/logstash
K – Kibana – https://www.elastic.co/products/kibana
S – Scirius – https://github.com/StamusNetworks/scirius
•EveBox – https://evebox.org/
•Arkime – https://arkime.com/
•CyberChef – https://github.com/gchq/CyberChef

Para quem é o SELKS?

Para muitas organizações de pequeno a médio porte, o SELKS pode ser uma solução adequada de monitoramento de segurança de rede (NSM) e detecção de intrusão (IDS) de nível de produção.
E como todos os dados disponíveis no SELKS são gerados pelo mecanismo Suricata, o SELKS é amplamente usado por profissionais de segurança de rede, pesquisadores, educadores, estudantes e amadores para explorar o que é possível com o Suricata IDS/IPS/NSM e os logs e alertas de monitoramento de protocolo de rede que ele produz.

Instalação básica

Configuração mínima de trabalho:

2 núcleos
10 GB de RAM livre
mínimo de 10 GB de espaço livre em disco (a ocupação real do disco dependerá principalmente do número de regras e da quantidade de tráfego na rede). Recomenda-se SSD de 200 GB ou mais.

A instalação é muito simples e podemos consultar detalhes em https://github.com/StamusNetworks/SELKS

git clone https://github.com/StamusNetworks/SELKS.git

cd SELKS/docker/

./easy-setup.sh

sudo -E docker compose up -d

Depois que os contêineres estiverem instalados e funcionando, você pode acessar no seu navegador para https://seuIP/ Se você escolheu instalar o Portainer durante a instalação, você deve visitar
https://SeuIP:9443para definir a senha de administrador do Portainer.

Credenciais e login

Para acessar o scirius, você precisará das seguintes credenciais:

usuário:selks-user
senha:selks-user

Importando PCAP

Para fazer a ingestão de um PCAP eu usei os seguintes comandos

docker cp seu_arquivo.pcap suricata:/mnt/pcaps

docker exec -it suricata bash

suricata -r /mnt/pcaps/seu_arquivo.pcap -v  --runmode=autofp

exit

Sobre Daniel Donda 549 Artigos

Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Hunting com SELKS

Para quem é o SELKS?

Instalação básica

Credenciais e login

Importando PCAP

Anúncio

Seja o primeiro a comentar

Faça um comentário Cancelar resposta

Hunting Alternate Data Stream (ADS)

Hunting com SELKS

O que é Emerging Threats?

Análise de PCAP com Moloch/Arkime

Real Intelligence Threat Analytics (RITA)