Hace pocos dias, Stamus Networks dio a conocer mediante una publicación el lanzamiento de la nueva versión de la distribución especializada «SELKS 7.0» la cual está diseñada para implementar sistemas para detectar y prevenir intrusiones en la red, así como para responder a las amenazas identificadas y monitorear la seguridad de la red.
Para quienes desconocen del sistema, deben saber que SELKS está construido sobre la base del paquete Debian y la plataforma IDS abierta Suricata, a lo cual ademas el nombre es un acrónimo referente a las principales herramientas que componen a este sistema.
SELKS se compone de los siguientes componentes principales:
- Suricata – Suricata lista para usar
- Elasticsearch – Motor de búsqueda
- Logstash – Inyección de registros
- Kibana: paneles personalizados y exploración de eventos
- Scirius CE: gestión del conjunto de reglas de Suricata e interfaz de caza de amenazas de Suricata
Además, SELKS ahora incluye Arkime, EveBox y CyberChef.
Con todo este conjunto de herramientas, estas trabajan en conjunto, ya que los datos se procesan mediante Logstash y se almacenan en el almacenamiento de ElasticSearch y para rastrear el estado actual y los incidentes identificados, se ofrece una interfaz web implementada sobre Kibana.
La interfaz web de Scirius CE se utiliza para administrar las reglas y visualizar la actividad asociada con ellas. También incluye el sistema de captura de paquetes Arkime, la interfaz de evaluación de eventos EveBox y el analizador de datos CyberChef.
Los usuarios reciben una solución de administración de seguridad de red llave en mano que se puede usar inmediatamente después de la descarga.
Principales novedades de SELKS 7.0
En esta nueva versión que se presenta de SELKS 7.0 se destaca que ahora está disponible como un paquete portátil de Docker Compose o como imágenes de instalación llave en mano (archivos ISO).
Con ello, ahora cada opción incluye cinco componentes clave de código abierto que componen su nombre: Suricata, Elasticsearch, Logstash, Kibana y Scirius Community Edition (Suricata Management y Suricata Hunting de Stamus Networks). Además, SELKS incluye componentes de Arkime, EveBox y Cyberchef que se agregaron después de que se estableciera el acrónimo.
“Estamos emocionados de hacer que SELKS 7 esté oficialmente disponible y en un paquete que hace posible implementarlo rápidamente en cualquier sistema operativo Linux o Windows, ya sea en un entorno virtual o en la nube”, dijo Peter Manev, cofundador y director de estrategia de Stamus. Redes. “La interfaz mejorada de búsqueda de amenazas y los paneles de respuesta a incidentes junto con el nuevo paquete Docker hacen que SELKS sea aún más accesible para las personas que desean explorar el poder de Suricata sin invertir en una solución comercial”.
Otro de los cambios que se destacan de esta nueva versión es un sistema de reproducción de actividad totalmente automatizado basado en registros guardados en formato PCAP, que se puede utilizar para probar el rendimiento de las medidas de protección implementadas, para el análisis de incidentes o en el proceso de aprendizaje.
Tambien se destaca que se ha ampliado y mejorado el conjunto de filtros para la detección de amenazas cibernéticas (threat hunting), lo que permite identificar rápidamente actividades maliciosas y violaciones de las reglas de acceso mediante la búsqueda de registros de Suricata y NSM (Network Security Monitor).
Por otra parte, tambien podremos encontrar que se integra el paquete CyberChef, que permite codificar, decodificar y analizar datos relacionados con eventos, el funcionamiento de protocolos y registros creados por Suricata.
Ademas de ello, tambien se destaca en el anuncio de esta nueva versión que se han agregado 6 nuevas secciones a la interfaz de Kibana para visualizar y monitorear la actividad relacionada con los protocolos SNMP, RDP, SIP, HTTP2, RFB, GENEVE, MQTT y DCERPC.
Finalmente para quienes estén interesados en poder conocer más al respecto, pueden consultar los detalles en el siguiente enlace.
Descargar y obtener SELKS
Para los que estén interesados en poder descargar esta distribución, deben saber que la distribución admite trabajar en modo Live y ejecutarse en entornos de virtualización o contenedores. Los desarrollos del proyecto se distribuyen bajo la licencia GPLv3.
El tamaño de la imagen de arranque es de 3 GB y la pueden obtener desde el siguiente enlace.