SECSTACK
SECSTACK

GNU/Linux ve Siber Güvenlik üzerine dökümanlar.

SECSTACK
Author

Share


Tags


.gz text aramak arkime arkime kurulumu bitwarden bitwarden kurulum bitwarden ubuntu canonical livepatch canonical livepatch yapılandırma centos grub rescue centos nfs yapılandırma centos samba yapılandırma chronograf chrony chrony ntp chrony ntp server chrony ntp server kurulumu chrony nts chrony nts yapılandırma dns over tls dns server kurulumu dnssec ed25519 ed25519 openssh ed25519 ssh full packet capture grafana grafana ile prometheus izleme grub rescue grub troubleshooting grub yeniden kurulumu influxdb iptables nftables geçişi iptables nftables kural geçişi irc server kapacitor kernelcare uchecker knot resolver knot resolver dns kurulumu knot resolver kurulumu linux nts server kurulum lvm lvm disk genişletme lvm genişletme lvm ikincil disk genişletme lvm ikincil genişletme lvm var olan disk genişletme lvm var olan genişletme moloch moloch kurulumu network time security nfs nfs yapılandırma nftables ngircd ngircd server ngircd ubuntu ntp server kurulumu nts nts server kurulum openvpn openvpn hardening ossec ossec hids ossec kurulumu outdated shared libraries prometheus restic restic kullanımı rsync rsync dosya transfer rsync kullanımı rsyslog rsyslog log yönlendirme rsyslog uygulama log yönlendirme samba samba yapılandırma scp scp dosya transfer scp kullanımı selks selks kurulumu setperms setugids sftp sftp kullanımı smbclient smbclient kullanımı ssh anahtar oluşturma ssh key oluşturma sshfs sshfs kullanımı sshfs nasıl kullanılır sshuttle stubby stubby kurulumu stubby yapılandırması suricata suricata kurulumu systemd systemd service hardening systemd-resolved systemd-resolved dns over tls systemd-resolved dnssec telegraf tick stack tick stack kurulumu ubuntu nfs yapılandırma ubuntu samba yapılandırma uchecker unbound unbound dns unbound dns kurulumu unbound forwarding dns vpn over ssh vuls vuls vulnerability scanner vuls vulnerability scanner kurulumu zcat zgrep zmore

SELKS 6 - Suricata, ELK, Scirius Kurulumu

selks

SELKS, Suricata (IDS/IPS/NSM engine), Elasticsearch, Logstash, Kibana ve Scirius ile birlikte gelen GPLv3 altında yayınlanan, Stamus Networks tarafından geliştirilen Debian (Opsiyonel LXDE desktop environment) tabanlı, kendi kural yöneticisi olan temel cyber threat hunting yeteneklerine olanak veren IDS/IPS/NSM ekosistemidir.

SELKS, 2014 yılında Suricata (IDS/IPS/NSM engine) ve ELK (Elasticsearch, Logstash, Kibana) ile ilgili araştırma yaparken keşfettiğim ve dökümanını hazırladığım bir dağıtımdı.

SELKS dağıtımı aşağıda yer alan uygulamaların bütününü kapsamaktadır.

S - Suricata IDPS - http://suricata-ids.org/
E - Elasticsearch - https://www.elastic.co/products/elasticsearch
L - Logstash - https://www.elastic.co/products/logstash
K - Kibana - https://www.elastic.co/products/kibana
S - Scirius - https://github.com/StamusNetworks/scirius
EveBox - https://evebox.org/

Full Packet Capture (FPC) Suricata tarafından yapılmaktadır. İlk kurulum sırasında sizden bir seçim yapmanız istenecektir. Üç seçeneğiniz bulunmaktadır.

Kurulum sonrası dört arayüz bizleri karşılamaktadır.

Kurulum

Kurulum tamamlanması için internet erişimine ihtiyaç duyulmaktadır. Minimum 2vCPU ve 8GB RAM gereksinimi vardır.

Kurulum için LXDE desktop environment gerek duymadığımız için burada yer alan SELKS 6 ISO without DESKTOP ile kuruluma başlayabiliriz. NIC offloading SELKS tarafından öntanımlı olarak devre dışı bırakılmaktadır.

Stamus SELKS Install seçeneği ile ilerliyoruz.

selks1

Language > English ile ilerliyoruz.

selks2

Location > other > Asia > Turkey ile ilerliyoruz.

selks3

Locale > United States ile ilerliyoruz.

selks4

Keymap > American English ile ilerliyoruz.

selks5

Hostname > SELKS olarak kalabilir veya istediğiniz gibi değiştirebilirsiniz.

selks6

Domain name bilgisini boş bırakıyoruz.

selks7

Guided - use entire disk ile ilerliyoruz.

selks8

İlgili diskimizi seçerek ilerliyoruz.

selks9

All files in one partition ile ilerliyoruz.

selks10

Finish partitioning and write changes to disk ile ilerliyoruz.

selks11

Yes seçeneği ile ilerliyoruz.

selks12

No seçeneği ile ilerliyoruz.

selks13

Yes seçeneği ile ilerliyoruz.

selks14

/dev/sda bölümünü seçerek ilerliyoruz.

selks15

Debian kurulumunu tamamlıyoruz.

selks16

root - StamusNetworks ile giriş yapıyoruz.

selks17

Giriş yaptıktan sonra kuruluma geçebiliriz.

selks18

Full Packet Capture (FPC) yapılacak interface adını giriyoruz.

selks19

FPC opsiyonunu seçiyoruz. Full Packet Capture (FPC) Suricata tarafından yapılmasını istiyoruz.

selks20

SELKS kurulumunu enter ile tamamlıyoruz.

selks21

root ve selks-user kullanıcılarının parolasını değiştiriyoruz.

# passwd root
# passwd selks-user

SELKS web arayüzüne giriş yapabiliriz. Username selks-user Password selks-user ile giriş yapıyoruz. selks-user kullanıcısının web arayüz parolasını Scirius Home üzerinden değiştirmeyi unutmayınız. https://X.X.X.X

selks22

Sağ yukarıdan Hunting - Scirius Hunt, Management - Scirius, Dashboards - Kibana ve Event viewer - Evebox alanlarına ulaşabilirsiniz. Hunting - Scirius Hunt alanına geçiş yapıyoruz.

selks23

Alerts alanına geçiş yapıyoruz.

selks24

Örnek olarak 192.168.1.100 IP adresinin tetiklediği ET POLICY Observed Cloudflare DNS over HTTPS Domain (cloudflare-dns.com in TLS SNI) alarmının olay özetini görüntülüyoruz.

selks25

Diğer alanlara yazıyı daha uzun tutmamak adına geçiş yapmıyorum.

Author

SECSTACK

View Comments