Доступен SELKS 10, дистрибутив для создания систем обнаружения вторжений

Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 10, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Для загрузки сформированы два iso-образа: с графическим окружением Xfce (3.5 ГБ) и работающий в консольном режиме (2.7 ГБ).

Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные обрабатываются при помощи платформы Logstash и сохраняются в хранилище ElasticSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus CE. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и анализатор данных CyberChef.

Основные улучшения:

  • В интерфейс пользователя перенесены дополнительные возможности из параллельно развиваемой коммерческой платформы SSP (Stamus Security Platform). Проведена работа по упрощению web-интерфейса и сведению воедино информации об обнаружении угроз, поиске подозрительной активности и анализе доказательств.

  • Добавлена возможность выборочного захвата пакетов, связанных с выявленными событиями, и их экспорта из интерфейса для анализа подозрительной активности в формате PCAP. Экспортируемые дампы содержат полные данные о сетевом сеансе, ассоциированном с выявленной угрозой. Дамп можно использовать для анализа инцидента как в самом SELKS, так и в сторонних инструментах, таких как Wireshark.

  • Система для захвата, хранения и индексации сетевых пакетов Arkime обновлена до версии 5.0, в которой появилась поддержка поиска информации одновременно о нескольких объектах в открытых источниках (OSINT), изменено оформление блока с детальной информацией, задействована унифицированная подсистема конфигурации, добавлена поддержка методов формирования отпечатков трафика JA4 и JA4+ и реализована возможность импорта сохранённых PCAP-дампов.
  • Вместо SQLite для хранения данных задействована СУБД PostgreSQL.
  • Пакетная база обновлена до Debian 12.

Источник: http://www.opennet.ru/opennews/art.shtml?num=61367