Доступен SELKS 10, дистрибутив для создания систем обнаружения вторжений

Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 10, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Для загрузки сформированы два iso-образа: с графическим окружением Xfce (3.5 ГБ) и работающий в консольном режиме (2.7 ГБ).

Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные обрабатываются при помощи платформы Logstash и сохраняются в хранилище ElasticSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus CE. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и анализатор данных CyberChef.

Основные улучшения:

• В интерфейс пользователя перенесены дополнительные возможности из параллельно развиваемой коммерческой платформы SSP (Stamus Security Platform). Проведена работа по упрощению web-интерфейса и сведению воедино информации об обнаружении угроз, поиске подозрительной активности и анализе доказательств.
  

• Добавлена возможность выборочного захвата пакетов, связанных с выявленными событиями, и их экспорта из интерфейса для анализа подозрительной активности в формате PCAP. Экспортируемые дампы содержат полные данные о сетевом сеансе, ассоциированном с выявленной угрозой. Дамп можно использовать для анализа инцидента как в самом SELKS, так и в сторонних инструментах, таких как Wireshark.
  

• Система для захвата, хранения и индексации сетевых пакетов Arkime обновлена до версии 5.0, в которой появилась поддержка поиска информации одновременно о нескольких объектах в открытых источниках (OSINT), изменено оформление блока с детальной информацией, задействована унифицированная подсистема конфигурации, добавлена поддержка методов формирования отпечатков трафика JA4 и JA4+ и реализована возможность импорта сохранённых PCAP-дампов.
• Вместо SQLite для хранения данных задействована СУБД PostgreSQL.
• Пакетная база обновлена до Debian 12.

Источник: opennet.ru