封包擷取是一個重要元件,可以實施網路入侵偵測系統 (IDS) 並執行網路安全監控 (NSM)。
可以借助多種開源 IDS 工具來處理封包擷取,並檢查潛在網路入侵和惡意活動的簽名。
使用網路觀察程式提供的封包擷取,可以分析網路中是否存在任何有害入侵或漏洞。
一、簡介
封包擷取是一個重要元件,可以實施網路入侵偵測系統 (IDS) 並執行網路安全監控 (NSM)。可以借助多種
開源 IDS 工具來處理封包擷取,並檢查潛在網路入侵和惡意活動的簽名。使用網路觀察程式提供的封包擷取,
可以分析網路中是否存在任何有害入侵或漏洞。
Suricata是一個開源、成熟、快速、健壯的網路威脅檢測引擎。
Surica引擎能夠進行即時入侵偵測(IDS)、入侵防禦(IPS)、網路安全監控(NSM)和離線pcap處理。
Suricata使用強大而廣泛的規則和簽名語言來檢查網路流量,並且有強大的Lua腳本支援來檢測複雜的
威脅。使用標準的輸入和輸出格式(如YAML和JSON)與現有的SIEMs、Splunk、Logstash/Elasticsearch、
Kibana和其他資料庫等工具進行集成變得輕而易舉。
SELKS由以下主要元件組成:
- S - Suricata IDPS - http://suricata-ids.org/
- E - Elasticsearch - https://www.elastic.co/products/elasticsearch
- L - Logstash - https://www.elastic.co/products/logstash
- K - Kibana - https://www.elastic.co/products/kibana
- S - Scirius - https://github.com/StamusNetworks/scirius
- EveBox - https://evebox.org/
二、預設帳密
1. Admin:root / StamusNetworks
2. User:selks-user / selks-user
3. Password in Live mode is live
三、配置
1. CPU:2 Cores
2. RAM:4 GB
3. HDD:100 GB
4. NIC:1
註1:硬碟空間建議不要小於50GB,如果內部伺服器多的話,就需要更大的空間來儲存Log
註2.:網卡數量依據各自環境需求增加,或是讓SELKS能溝通到
四、設定
1. 首次
selks-first-time-setup_stamus
2. 更新
selks-upgrade_stamus
五、介面
1. 連結
https://your.selks.IP.here/
2. Scirius
規則集管理
3. Suricata
Administration Management
4. Kibana Dashboards
提供規則和警報事件的鏈結/連線深入管理、關聯和完整封包擷取
5. EveBox
告警、事件、關聯管理
6. Moloch viewer for pcap
導出和封包擷取深入研究
7. Scirius Hunt Interface
登入後,右上角點擊並選擇"Hunt"
六、操作影片
七、參考來源
1. https://www.youtube.com/watch?v=aWp-nh9EA_I
2. https://github.com/StamusNetworks/SELKS
3. https://github.com/StamusNetworks/SELKS/wiki/First-time-setup