SELKS 1.0 : une distribution

Posté par Eric Leblond (site web personnel) le 16 octobre 2014 à 15:23. Édité par Davy Defaud, Nÿco, Xavier Teyssier et palm123. Modéré par patrick_g. Licence CC By‑SA.

Étiquettes :

oct.

2014

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Capture d'écran de SELKS

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

Le nom SELKS vient de celui des composants majeurs de la distribution :

Suricata : sonde de détection d’intrusions et d’analyse réseau ;
Elasticsearch : moteur de recherche utilisé pour le stockage des événements ;
Logstash : logiciel injectant des fichiers de journaux dans Elasticsearch ;
Kibana : interface Web pour la création de tableaux de bord utilisant les données stockées dans Elasticsearch ;
Scirius : interface Web de gestion des signatures pour Suricata.

Suricata est une sonde de détection d’intrusion réseau développée par la fondation OISF (Open Information Security Foundation) et disponible sous licence GPLv2. Elle offre des capacités intéressantes tant au niveau de la détection d’intrusions par signatures qu’au niveau de l’analyse protocolaire, grâce à la journalisation des requêtes pour les protocoles HTTP, DNS, SSH et TLS. Suricata est donc un logiciel offrant des fonctionnalités de type IDS et de type network security monitoring (NSM). SELKS intègre la version 2.1 bêta 1 de Suricata qui présente des avancées significatives au niveau de la partie NSM comparée à la version stable 2.0.

Le trio Elasticsearch, Logstash et Kibana est une solution complète d’analyse et de stockage des journaux. L’ensemble de ces outils est développé par la société Elasticsearch.

Scirius est une interface Web de gestion de signatures Suricata développée par Stamus Networks et disponible sous licence GPLv3. Elle est codée en Django et permet la gestion et la mise à jour régulière des règles.

La distribution SELKS est basée sur Debian live. Les sources pour la construction de l’image ISO sont disponibles sous licence GPLv3 sur la page GitHub du projet.

Aller plus loin

Annonce de SELKS 1.0 (758 clics)
Page de téléchargement (944 clics)
SELKS sur github (332 clics)
Stamus Networks (122 clics)
Scirius (195 clics)
Suricata (656 clics)
Elasticsearch (293 clics)

# Quel timing

Posté par Cyril Brulebois (site web personnel) le 16 octobre 2014 à 15:30. Évalué à 4.

Cela fait plusieurs semaines que j'ai en tête de jouer avec ELK, et tes derniers tweets à propos de Suricata m'ont fait ajouter un item à ma todo list. Ravi d'avoir une image qui regroupe l'ensemble, avec Scirius en bonus. Merci. :)

Debian Consultant @ DEBAMAX
# 32 bits ?

Posté par papap le 16 octobre 2014 à 17:25. Évalué à 2.

Ouin, il n'y a que des versions 64 bits !
- [^] # Re: 32 bits ?
  
  Posté par Eric Leblond (site web personnel) le 16 octobre 2014 à 20:47. Évalué à 10.
  
  Oui, désolé, compte tenu notamment de l'utilisation mémoire (il faut au moins 2 Go), on a décidé de se limiter à la version 64 bits.
- [^] # Re: 32 bits ?
  
  Posté par Single le 20 octobre 2014 à 14:35. Évalué à 1.
  
  Ce n'est pas SELK mais ELKS qu'il te faut !
# Jeu de mots

Posté par Misc (site web personnel) le 16 octobre 2014 à 22:41. Évalué à 10.

Connaissant l'auteur de la dépêche, je suis surpris du manque de jeu de mot dans le titre.

Alors qu'un petit titre comme "Let's talk about selks" aurait était parfait.

Ou pour parler de l'usage de gcc pour compiler un module sur une base sparc, un petit "C, Selks and Sun" aurait été aussi de bon gout.

Et bon, pour parler des outils qui s'intégre avec le projet, "I am Selksy and I know it".
- [^] # Re: Jeu de mots
  
  Posté par Eric Leblond (site web personnel) le 16 octobre 2014 à 23:31. Évalué à 6.
  
  "Let's talk about SELKS" était déjà le titre du post d'annonce sur le blog je ne voulais pas forcer le trait ;) Et puis j'étais frustré d'avoir retiré la photo de New York qui était en fond d'écran pour la RC1 alors que j'avais prévu de faire "SELKS in the city"…
  - [^] # Re: Jeu de mots
    
    Posté par feth le 17 octobre 2014 à 01:08. Évalué à 3. Dernière modification le 17 octobre 2014 à 01:09.
    
    Pour la City tu peux encore insérer une image de Londres.
    
    Nessus est pas un logiciel très communautaire alors qu'il y a une foule de gens de partout qui (s')investissent dans selks.
    J'ai Nessus ; pas Selks, vous crowdez¹ ? (avec mes excuses, il est tard).
    
    ¹ crowder : admettons que ça soit un raccourci pour "crowdsourcer".
  - [^] # Re: Jeu de mots
    
    Posté par Misc (site web personnel) le 20 octobre 2014 à 07:19. Évalué à 1.
    
    Tu peux la faire en anglais "Selks and the CTO"
    
    Et tu peux aussi faire une présentation sur la securisation de la distro :
    
    "practice safe selks".
# raspberry pi ?

Posté par voxmundix le 17 octobre 2014 à 14:18. Évalué à 0.

Ça marche sur Raspberry pi? :)
- [^] # Re: raspberry pi ?
  
  Posté par olaf le 17 octobre 2014 à 14:40. Évalué à 2.
  
  Il faut au moins 2Gio de RAM…
  - [^] # Re: raspberry pi ?
    
    Posté par voxmundix le 19 octobre 2014 à 15:24. Évalué à 1.
    
    Oki merci, dommage

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.