SELKS é uma plataforma de monitoramento de segurança de rede/IDS/IPS baseada em Debian, gratuita e de código aberto, lançada sob GPLv3 pela Stamus Networks ( https://www.stamus-networks.com/ ).
SELKS é um conjunto de Suricata, Elasticsearch, Logstash, Kibana e Scirius
- S – Suricata IDPS/NSM – https://suricata.io/
- E – Elasticsearch – https://www.elastic.co/products/elasticsearch
- L – Logstash – https://www.elastic.co/products/logstash
- K – Kibana – https://www.elastic.co/products/kibana
- S – Scirius – https://github.com/StamusNetworks/scirius
- •EveBox – https://evebox.org/
- •Arkime – https://arkime.com/
- •CyberChef – https://github.com/gchq/CyberChef
Para quem é o SELKS?
Para muitas organizações de pequeno a médio porte, o SELKS pode ser uma solução adequada de monitoramento de segurança de rede (NSM) e detecção de intrusão (IDS) de nível de produção.
E como todos os dados disponíveis no SELKS são gerados pelo mecanismo Suricata, o SELKS é amplamente usado por profissionais de segurança de rede, pesquisadores, educadores, estudantes e amadores para explorar o que é possível com o Suricata IDS/IPS/NSM e os logs e alertas de monitoramento de protocolo de rede que ele produz.
Instalação básica
Configuração mínima de trabalho:
- 2 núcleos
- 10 GB de RAM livre
- mínimo de 10 GB de espaço livre em disco (a ocupação real do disco dependerá principalmente do número de regras e da quantidade de tráfego na rede). Recomenda-se SSD de 200 GB ou mais.
A instalação é muito simples e podemos consultar detalhes em https://github.com/StamusNetworks/SELKS
git clone https://github.com/StamusNetworks/SELKS.git
cd SELKS/docker/
./easy-setup.sh
sudo -E docker compose up -d
Depois que os contêineres estiverem instalados e funcionando, você pode acessar no seu navegador para https://seuIP/ Se você escolheu instalar o Portainer durante a instalação, você deve visitar
https://SeuIP:9443para definir a senha de administrador do Portainer.
Credenciais e login
Para acessar o scirius, você precisará das seguintes credenciais:
- usuário:
selks-user
- senha:
selks-user
Importando PCAP
Para fazer a ingestão de um PCAP eu usei os seguintes comandos
docker cp seu_arquivo.pcap suricata:/mnt/pcaps
docker exec -it suricata bash
suricata -r /mnt/pcaps/seu_arquivo.pcap -v --runmode=autofp
exit
Seja o primeiro a comentar