The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступен SELKS 10, дистрибутив для создания систем обнаружения вторжений

14.06.2024 14:06

Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 10, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Для загрузки сформированы два iso-образа: с графическим окружением Xfce (3.5 ГБ) и работающий в консольном режиме (2.7 ГБ).

Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные обрабатываются при помощи платформы Logstash и сохраняются в хранилище ElasticSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus CE. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и анализатор данных CyberChef.

Основные улучшения:

  • В интерфейс пользователя перенесены дополнительные возможности из параллельно развиваемой коммерческой платформы SSP (Stamus Security Platform). Проведена работа по упрощению web-интерфейса и сведению воедино информации об обнаружении угроз, поиске подозрительной активности и анализе доказательств.
  • Добавлена возможность выборочного захвата пакетов, связанных с выявленными событиями, и их экспорта из интерфейса для анализа подозрительной активности в формате PCAP. Экспортируемые дампы содержат полные данные о сетевом сеансе, ассоциированном с выявленной угрозой. Дамп можно использовать для анализа инцидента как в самом SELKS, так и в сторонних инструментах, таких как Wireshark.
  • Система для захвата, хранения и индексации сетевых пакетов Arkime обновлена до версии 5.0, в которой появилась поддержка поиска информации одновременно о нескольких объектах в открытых источниках (OSINT), изменено оформление блока с детальной информацией, задействована унифицированная подсистема конфигурации, добавлена поддержка методов формирования отпечатков трафика JA4 и JA4+ и реализована возможность импорта сохранённых PCAP-дампов.
  • Вместо SQLite для хранения данных задействована СУБД PostgreSQL.
  • Пакетная база обновлена до Debian 12.


  1. Главная ссылка к новости (https://www.stamus-networks.co...)
  2. OpenNews: Обновление Suricata 7.0.3 и 6.0.16 с устранением критических уязвимостей
  3. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
  4. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
  5. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
  6. OpenNews: Релиз системы обнаружения атак Snort 3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61367-selks
Ключевые слова: selks, suricata, ids
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.10, anonimous (?), 16:54, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    В РФ не прокатят такие дистрибутивы. Тут нужно только сертифицированное, из российского реестра. Причем это железки типа ПАК ViPNet IDS. Довольно дорогие, с платной поддержкой и обновляемыми базами.
     
     
  • 2.11, Аноним (11), 17:00, 14/06/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    это не на масс маркет расчитано, те кому они нужны имеют на них средства
     
     
  • 3.15, Огнетруп (?), 18:54, 14/06/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Вы ведь знаете, что бывают разные круги средствовращения? Не сообщающиеся между собой. Воот.
     
     
  • 4.34, YetAnotherOnanym (ok), 15:03, 16/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Не сообщающиеся между собой

    Уверен?

     
  • 2.17, Аноним (17), 19:09, 14/06/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    главное, что внутри там та же suricata, но в звании маеора.
     
  • 2.18, Аноним (17), 19:11, 14/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    ЧСХ, при товарище Сталине, уверен, требующие таких сертифицированных, давно уже б за вредительство перевоспитывались в южлаге.
     
     
  • 3.31, Аноним (-), 15:54, 15/06/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    2024 году вспоминать Сталина - это trash.
     
  • 3.39, срупт (?), 15:18, 18/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    При товарище сталине ты бы уже уехал на 10 лет в гулаг за комменты в интернете
     
  • 2.37, Аноним (37), 11:35, 17/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А зачем они?
    В принципе же на них зеркалируется трафик с роутера и че-то там анализируется (входящий исходящий?). А если порты закрыты, то какие там атаки с интернета возможны?
     

  • 1.20, Аноним (20), 21:32, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    После прочтения вспомнилась крылатая фраза сталинского прокурора СССР Андрея Вышинского, которая не потеряла актуальности и сегодня:
    "Главное в ходе следственных действий — не выйти на самих себя".
     
  • 1.21, yandaxx (?), 21:43, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Достаточно глючный стек. По крайней мере предыдущая версия. То Arkime отваливается, то админка стамуса не открывается. Из 20 попыток переустановок с разными условиями и на разном железе запустилось пару раз все нормально, но после перезагрузки docker-контейнеры опять не смогли стартануть нормально. Вообщем обплевавшись, ушли на Security Onion
     
     
  • 2.22, yandaxx (?), 21:48, 14/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Из плюсов: Удобная установка. Arkaim удобен, если заработает (не нужен Wireshark), EveBox крайне удобный инструмент безопасника.

     

  • 1.23, Anm (?), 23:13, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    Вторжение) Прокси не пробовали использовать?
     
     
  • 2.33, Аноним (-), 09:24, 16/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Это как?
     
     
  • 3.35, YetAnotherOnanym (ok), 15:13, 16/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Это заходишь в защищённое помещение, в котором сидит солдатик за персональной ЭВМ, и просишь: "Глянь, пожалуйста, погоду на завтра". А пока он смотрит погоду - записываешь в журнале, что такой-то (должность, звание, фамилия) во столько-то узнавал погоду на завтра, подпись, расшифровка подписи. Забираешь распечатку и идёшь к себе.
     
     
  • 4.38, Big Robert TheTables (?), 11:43, 17/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    видел прям такой слайд на одной презентации
    "Что, если просто сперли учетку?".

    И все эти надежды на прокси идут лесом. рассказы про солдатика и журнал в том числе.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру