SELKS 6 : mise à jour de la distribution basée sur Suricata

25
24
juin
2020
Sécurité

SELKS 6 a été publié par Stamus Networks. Cette nouvelle version de la distribution mettant Suricata au cœur de l’analyse réseau orientée sécurité arrive un peu moins d’un an après la version 5.0. Au programme de la version 6, une mise à jour des logiciels intégrés, avec Suricata en version 6.0-git et Elasticsearch en version 7 et une interface Web mise à jour.

Scirius

SELKS est une distribution autonome (live) et installable qui fournit une solution clef en main pour analyser le trafic réseau et détecter les menaces. Le mode de fonctionnement principal est en passif (détection d’intrusion), mais il est également possible de modifier la configuration pour en faire un système de prévention d’intrusion (IPS).

Le code source de SELKS est disponible sous licence GPL v3.

Suricata 4.0 : la détection d’intrusion en mode hipster

Posté par  (site web personnel) . Édité par Davy Defaud, Pierre Jarillon, palm123, ZeroHeure, claudex et Xavier Teyssier. Modéré par claudex. Licence CC By‑SA.
Étiquettes :
35
29
juil.
2017
Sécurité

Suricata, l’outil de détection des menaces réseau, passe en version 4.0 avec pléthore de nouveautés :

  • ajout de l’analyse du protocole NFS ;
  • améliorations de la gestion de TLS ;
  • gestion des changements de protocoles (STARTTLS, HTTP CONNECT) ;
  • enrichissement des événements générés ;
  • prise en charge d’analyseurs de protocoles en Rust.

Suricata est un moteur de détection d’intrusions réseau et de supervision réseau orienté sécurité. En clair, il analyse le trafic des réseaux pour détecter des menaces et journaliser les événements. Suricata est disponible sous licence GPL v2 et est développé par une fondation à but non lucratif, l’OISF.

Suricata est devéloppé en C avec depuis la version 4.0 des analyseurs de protocoles en Rust écrits avec utilisant le framework Nom.

SELKS 3.0 une distro pour l’analyse réseau et sécurité

56
15
août
2016
Sécurité

SELKS est une distribution autonome (live) et installable qui fournit une solution de détection d’intrusion réseau et de supervision de la sécurité orientée réseau basée sur le moteur Suricata. SELKS utilise les outils Elastic pour le stockage et l’analyse des données. La version 3.0 intègre Elasticsearch 2.x et Kibana 4.x, offrant ainsi une analyse des données plus flexible et performante que dans les versions précédentes.

L'interface de gestion

Concrètement, SELKS vous permet d’analyser le trafic d’un réseau en temps réel pour extraire des informations protocolaires et détecter des anomalies. Suricata réalise cette analyse et les outils Elastic se chargent, eux, de stocker et de représenter les données générées.

SELKS 1.0 : une distribution

Posté par  (site web personnel) . Édité par Davy Defaud, Nÿco, Xavier Teyssier et palm123. Modéré par patrick_g. Licence CC By‑SA.
35
16
oct.
2014
Sécurité

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Capture d'écran de SELKS

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

Forum Linux.debian/ubuntu Installation de Suricata

Posté par  . Licence CC By‑SA.
0
28
mai
2014

Bonjour à tous !

Actuellement, j'ai installé Suricata sur un serveur en maquette (Ubuntu 12.04) avec l'interface graphique Kibana. J'ai suivi entre autre ce tuto : Tuto Suricata
Pour le moment, il ne surveille pas grand chose, à part les flux sur son interface réseau.

Voilà ma question : est-il possible d'installer un deuxième Suricata à un autre endroit du réseau et de centraliser les alertes et messages dans la même interface graphique ?

Merci d'avance pour votre réponse !

Daphmo

Forum Linux.général Suricata -> questions...

Posté par  . Licence CC By‑SA.
Étiquettes :
0
13
mai
2014

Bonjour,
J ai pour projet de déployer l IPS suricata sur un réseau exsistant. Je ne veux pas faire de in-line mais "mirrorer" le trafic existant sur le port d un switch surlequel Suricata sera connecté.
Il semble que Suricata peut fonctionner en IPS dans ce mode en envoyant des tcp-reset/icmp error codes.

De là pleins de questions:

  • NIveau archi: pour pouvoir envoyer des tcp-rst / icmp error est il nécessaire que mon serveur ait une IP dédié sur le/les (…)

Prelude IDS 1.1.0

Posté par  . Édité par Nÿco, claudex, palm123, Benoît Sibaud, NeoX et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
25
30
déc.
2013
Sécurité

Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés.

Prelude IDS

Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Le SIEM Prelude est de retour dans les bacs en version 1.0.1

Posté par  . Édité par Benoît Sibaud et tuiu pol. Modéré par tuiu pol.
Étiquettes :
18
23
juil.
2012
Sécurité

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

  • Correction de nombreux bugs
  • Rafraîchissement des interfaces Web
  • Amélioration des traductions
  • Ajout de nouvelles règles LML
  • Mise à jour des copyrights
  • Transfert des fonctions relaying dans la version Entreprise