Problème après l'installation de selks-6.0

[Admin-hoc]

Bonjour,

Je voudrais tester selks comme système IPS/IDS en production c'est donc la première fois que je teste ce produit.

Après l'installation de selks-6.0-nodesktop sous vmware avec la configuration suivante : a) 4 Coeurs
b) 12G de RAM c) 200GO de disque dur. d) Deux cartes réseaux. Mais malheusement ce dernier ne fonctionne pas correctement je m'explique : 1- une fois l'installation terminée j'ai exécuté " selks-first-time-setup_stamus " et j'ai suivi les étapes indiquées dans la documentation et j'ai choisi "FPC" J'ai exécuté aussi " selks-upgrade_stamus ", une fois terminé je constate plusieurs problèmes : a) l'interface "Hunting" reste vide aucune information
b) cyberchef est inaccessible " 404 Not found " c) je précise que les services sont bien actifs.

Ci-joint quelques photos, pourriez-vous m'aider s'il vous plaît

Dans l'attente de votre retour.

Cordialement,

[Admin-hoc]

Hello,

I would like to test selks as an IPS/IDS system in production so this is the first time I test this product.

After installing selks-6.0-nodesktop under vmware with the following configuration: a) 4 cores b) 12G of RAM c) 200GB of hard disk. d) Two network cards. But unfortunately this last one does not work correctly I explain myself: 1- once the installation was finished I ran "selks-first-time-setup_stamus" and I followed the steps indicated in the documentation and I chose "FPC" I also ran "selks-upgrade_stamus", once finished I notice several problems: a) the interface "Hunting" remains empty no information b) cyberchef is inaccessible "404 Not found c) I specify that the services are well active.

Attached some pictures, could you please help me

Waiting for your return.

Sincerely,

[yodapotatofly]

Afin de tester le bon fonctionnement de SELKS, vous pouvez rejouer des captures de traffic malveillant. Pour ce faire, vous pouvez utiliser des captures .pcap disponibles ici : https://www.malware-traffic-analysis.net/ Vous pouvez les rejouer grace a l'utilitaire tcpreplay

Concernant Cyberchef, son absence est normale dans SELKS 6. Il doit être installé à part si vous en avez l'utilité

[Admin-hoc]

Je vous remercie pour votre retour, en fait je suis en entreprise, sur le LAN il y a minimum 50 utilisateurs dessus, je devrais avoir au moins des remontées non ? pourriez-vous m'expliquer un peu plus sur ( vous pouvez utiliser des captures .pcap disponibles ici : https://www.malware-traffic-analysis.net/ Vous pouvez les rejouer grace a l'utilitaire tcpreplay )

Dans l'attente de votre retour Bien Cordialement

[yodapotatofly]

Avez-vous bien executé selks-first-time-setup_stamus ? Cela se déroule-t-il sans erreur ?

Si oui : Allez dans la section "dashboards" du menu (en haut a droite), puis en naviguant dans le menu -> analytics -> dashboards,et enfin en allant sur le dashboard SN-Flow. Y-a-t-il des données affichées ?

[Admin-hoc]

Bonjour,

Merci infiniment pour vos réponses, mais cela ne fonctionne toujours pas correctement chez moi malgré mes recherches. Je m'explique: Dans le SN-Flow : il y'a des données voici mon tableau :

Mais je ne comprends toujours pas pourquoi il n'y a pas donné dans ces tableaux :

J'ai installé et réinstallé à plusieurs reprises le serveur et toujours le même problème.

Avez-vous une idée ?

Dans l'attente de votre retour.

Bien Cordialement,

[yodapotatofly]

A première vu, cela semble simplement indiqué qu'aucune activité n'a déclenché les règles, et donc aucune alerte n'a été levée. Pour vérifier le fonctionnement de votre installation vous pouvez :

• Visiter testmyids.ca (la simple visite de ce site de test génère du faux trafic malicieux)

• Rejouer des captures de trafic réseau malicieux :

Installer tcpreplay sudo apt install tcpreplay

Télécharger des captures de trafic malicieux sur internet, par exemple surhttps://www.malware-traffic-analysis.net/2021/index.html Attention a bien télécharger uniquement des captures .pcap et pas les fichiers malicieux eux-mêmes.

Exécuter tcpreplay sur le fichier .pcap : tcpreplay -i <interface> something.pcap avec <interface> une interface réseau sur laquelle vous avez configuré SELKS, et something.pcap le fichier téléchargé précédemment. Cela devrait générer des alertes dans scirius hunt

[Admin-hoc]

Après quelques tests selks capte seulement ses propres paquets, aucune détection d'autre serveur pourtant j'ai effectué les mêmes tests avec tcpreplay sur plusieurs serveurs Linux.

Y a-t-il quelque chose d'autre à modifier afin de recevoir l'intégralité du trafic interne ( LAN) s'il vous plait ? Cordialement

[yodapotatofly]

Le trafic en question parvient-t-il jusqu'à votre machine SELKS ? Pouvez vous le voir en utilisant wireshark ?

[Admin-hoc]

Bonjour, Oui j'ai bien du trafic dans "events". J'ai testé l'analyse réseau avec wireShark j'arrive bien à récupérer le trafic de ma carte réseau, mais uniquement ma carte réseau, je ne peux pas capturer le trafic d'autres personnes ce qu'il me semble normal. Pour information : selks est installé sur vmware comme VM avec 2 cartes réseaux, 8G de Ram, 200G de disque dur . Avez-vous d'autres pistes à explorer s'il vous plait ? Cordialement,

[Hocine7500]

Le trafic en question parvient-t-il jusqu'à votre machine SELKS? Pouvez-vous le voir en utilisant wireshark ?

Bonjour, Oui j'ai bien du trafic dans "événements". J'ai testé l'analyse réseau avec wireShark j'arrive bien à récupérer le trafic de ma carte réseau, mais uniquement ma carte réseau, je ne peux pas capturer le trafic d'autres personnes ce qu'il me semble normal. Pour information: selks est installé sur vmware comme VM avec 2 cartes réseaux, 8G de Ram, 200G de disque dur. Avez-vous d'autres pistes à explorer s'il vous plait ? Cordialement,

[yodapotatofly]

Vous me confirmez que lorsque vous rejouer du trafic malveillant sur l'interface de capture paramétrée dans SELKS, celui-ci apparait bien dans l'interface Hunt ?

Votre problème est donc l'impossibilité de capturer du trafic autre que celui destiné à votre machine ? Si oui, cela me semble être d'avantage un problème de topologie. Certains switchs permettent d'activer la fonction "Port mirroring", afin de recevoir l'intégralité du traffic passant par le switch.

[ul-br]

salut, je suis étudiant en master 2 système d'information et sécurité numérique et pour mon mémoir j'ai opter travailler sur la mise en place d'un SOC plus précisement SELKS. j'ai télécharger l'iso, installer en machine virtuelle et les faits configuration de bases. j'aimerais avoir quelques scénario pour tester. cordialement

[regit]

salut, je suis étudiant en master 2 système d'information et sécurité numérique et pour mon mémoir j'ai opter travailler sur la mise en place d'un SOC plus précisement SELKS. j'ai télécharger l'iso, installer en machine virtuelle et les faits configuration de bases. j'aimerais avoir quelques scénario pour tester. cordialement

Un rejeu de qq pcaps de MTA https://www.malware-traffic-analysis.net/ est un bon début pour ce genre de taches.

[ul-br]

salut, je suis étudiant en master 2 système d'information et sécurité numérique et pour mon mémoire j'ai opter travailler sur la mise en place d'un SOC plus précisément SELKS. j'ai télécharger l'iso, installer en machine virtuelle et les faits configuration de bases. j'aimerais avoir quelques scénario pour tester. cordialement

Un rejeu de qq pcaps de MTA https://www.malware-traffic-analysis.net/ est un bon début pour ce genre de taches.

Merci j'essai et je te revient

[ul-br]

Bonjour, Merci déjà pour l'aide de la dernière fois. J'aimerais savoir si je peux analyser le traffic réseau des machines clients de mon LAN à partir de ma machine SELKS si oui comment est-ce qu'on procède ? Cordialement