Компания Stamus Networks опубликовала выпуск специализированного дистрибутива SELKS 10, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется полностью готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Для загрузки сформированы два iso-образа: с графическим окружением Xfce (3.5 ГБ) и работающий в консольном режиме (2.7 ГБ).
Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Данные обрабатываются при помощи Logstash и сохраняются в хранилище ElasticSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus CE. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и анализатор данных CyberChef.
Основные улучшения:
- В интерфейс пользователя перенесены дополнительные возможности из параллельно развиваемой коммерческой платформы SSP (Stamus Security Platform). Проведена работа по упрощению работы в web-интерфейсе и сведению воедино информации об обнаружении угроз, поиске подозрительной активности и анализе доказательств.
- Добавлена возможность выборочного захвата пакетов, связанных с выявленными событиями, и их экспорта из интерфейса для анализа подозрительной активности в формате PCAP. Экспортируемые дампы содержат полные данные о сетевом сеансе, ассоциированном с выявленной угрозой. Дамп можно использовать для анализа инцидента как в самом SELKS, так и в сторонних инструментах, таких как Wireshark.
- Система для захвата, хранения и индексации сетевых пакетов Arkime обновлена до версии 5.0, в которой появилась поддержка поиска информации в открытых источниках (OSINT) одновременно о нескольких объектах, изменено оформление блока с детальной информацией, задействована унифицированная подсистема конфигурации, добавлена поддержка методов формирования отпечатков трафика JA4 и JA4+ для определения сетевых протоколов и приложений и реализована возможность импорта сохранённых PCAP-дампов.
- Вместо SQLite для хранения данных задействована СУБД PostgreSQL.
- Пакетная база обновлена до Debian 12.
