freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Siem落地方案之SELKS思路
2020-09-18 22:04:47

有一位大佬说selks很香,作为一个实践操作玩家来说,莫过于直接实战一波,看看效果如何。

小结:可以作为SIEM系统内NIDS补充,可以参考它的日志解析方式,其他指标可以使用grafana进行展示。

介绍

SELKS由Stamus Networks开发,是一个基于Suricata的IDS / IPS / NSM(网络安全监控)生态系统,具有自己的图形规则管理器和基本的威胁搜寻功能。

其中组成部分:

S-Suricata IDPS- 网络入侵检测工具

E-Elasticsearch- 存储日志的工具

L-Logstash- 收集转发日志的工具

K-Kibana- 展示数据的图表工具

S-Scirius- 专用于Suricata规则集管理的Web界面

EveBox- 基于Web的警报和事件管理工具,用于处理Suricata网络威胁检测引擎生成的事件。

看到他的组成部分,可以明确知道着系统主要面向是网络入侵检测的方向。

使用情况

SELKS有开源版和商业版,我们这边只讲开源版。开源版有GitHub地址官网地址。开源版提供了ISO镜像启动,其中包括桌面版和无桌面版,我来用一下桌面版,简单点。

官方推荐资源要在双核6G以上,因为ES和suricata多线程很占资源,并且操作系统是debian。

使用vmware加载镜像之后,会显示下图的内容。

1600433511_5f64ad67101c47c43d36b.png!small

点击first time setup,是叫你选择监控流量的网卡(ens33),并且使用监控的模式,我选了FPC模式

1600434356_5f64b0b4058725569e26d.png!small

1600434243_5f64b043d3e75b2b25b36.png!small

用法和登录凭据(OS / ssh和Web管理用户)

用户: selks-user
密码: selks-user
(输入的密码Live mode为live)
默认root密码是StamusNetworks

在浏览器输入https://selks/rules,就会跳到WEB页面,并且账号和密码输入selks-user

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 企业安全 # SIEM
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑