SELKS как ELK для Suricata.

Всем привет.

Популярное на сегодня понятие SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью, и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Среди топовых SIEM можно назвать ArcSight, QRadar, Splunk, Qualys и MaxPatrol. Они все платные.

Любители бесплатных решений используют так называеемый ELK stack (Logstash+Elasticsearch+Kibana):

• Logstash - сбор логов
• Elasticsearch - хранение и быстрый поиск по логам
• Kibana - визуализация

По идее в SIEM каждый администратор хочет видеть через графический интерфейс, что у него хранится в различных логах. Например, при проведении нагрузочного тестирования это позволяет получать больше информации о работе системы, а значит, повышается качество тестирования.

Как полнять ELK хорошо описано здесь - Введение в ELK: собираем, фильтруем и анализируем большие данные

Однако для ELK придумали более интересное применение. Некая фирма Stamus пошла дальше и соединила ELK с современной  Suricata IPS. На гора вышел Live ISO SELKS.

SELKS является как Live так и инсталлируемым стандартом управления сетевой безопасностью на основе Debian и фокусируется на полной и готовой к использованию экосистеме Suricata IDS/IPS со своим собственным менеджером графических правил. От начала до получения результата IDS/IPS и NSM за 30 секунд. 

Название SELKS происходит от его основных компонентов: Suricata, Elasticsearch, Logstash, Kibana, Scirius, EveBox. Из новых тут Scirius и EveBox.

После запуска или установки SELKS вы получаете запущенную систему предотвращения вторжений и обнаружения Suricata на платформе NSM, Kibana для анализа предупреждений и событий, EveBox для корреляции потоков, архивирования/комментариев по событиям, отчетов и загрузки pcap. Существует также пакет Scirius для настройки и управления набором правил Suricata.

Scirius - это веб-интерфейс, предназначенный для управления набором правил Suricata. Он управляет файлами / категориями правил. Источниками набора правил могут быть локальные (загруженные файлы) или удаленные файлы (архив, доступный через HTTP или HTTPS, например, новый набор правил для открытых угроз).

Scirius - это приложение, написанное на Django. Scirius выпускается под лицензией GPLv3. Источники, трекер ошибок и вики размещаются на GitHub. Собственно из-за своего Scirius кампания и собрала SELKS.

SELKS набор хороший и бесплатный, главное его разумно использовать.

Удачи.