SiLK

SiLK, das System für internetweite Kenntnisse, ist eine Sammlung von Verkehrsanalyseschtools, die vom CERT Netzwerk-Situationsbewusstseinsteam (CERT NetSA) entwickelt wurden, um die Sicherheitsanalyse großer Netzwerke zu erleichtern. Die SiLK-Tool-Suite unterstützt die effiziente Sammlung, Speicherung und Analyse von Netzwerkflussdaten, sodass Netzwerksicherheitsanalysten große historische Verkehrsdatensätze schnell abfragen können. SiLK ist ideal geeignet für die Analyse des Verkehrs im Backbone oder an der Grenze eines großen, verteilten Unternehmens oder eines mittelgroßen ISP.

Eine SiLK-Installation besteht aus zwei Kategorien von Anwendungen: dem Packungssystem und der Analysesuite. Das Packungssystem sammelt IPFIX, NetFlow v9 oder NetFlow v5 und wandelt die Daten in ein platzsparenderes Format um, indem es die gepackten Daten in service-spezifischen binären Flatfiles speichert. Die Analysesuite besteht aus Werkzeugen, die diese Flatfiles lesen und verschiedene Abfrageoperationen durchführen, von der Filterung einzelner Datensätze bis zur statistischen Analyse von Gruppen von Datensätzen. Die Analysetools interagieren über Pipes, sodass ein Benutzer eine relativ anspruchsvolle Abfrage aus einem einfachen Anfang entwickeln kann.

Rollenvariablen

Verfügbare Variablen sind unten aufgeführt, zusammen mit Standardwerten (siehe defaults/main.yml):

silk_version

Die Version von SiLK, die installiert werden soll. Der Master-Branch verweist immer auf die neueste verfügbare Version.

netsa_url: "http://tools.netsa.cert.org/releases/"
silk_name: "silk-{{ silk_version }}"
silk_tgz: "{{ silk_name }}.tar.gz"
silk_url: "{{ netsa_url }}{{ silk_tgz }}"
silk_timeout: 10
silk_checksums:
  '3.19.1': sha256:b287de07502c53d51e9ccdcc17a46d8a4d7a59db9e5ae7add7b82458a9da45a7
  '3.19.0': sha256:0f5bdcf437a1dc0429a5acb48b8e9ef18050999a230920369c05b2db9f020695
  '3.18.3': sha256:25fc734d6cac7d39285877ff5efd78bd4e5bb34523a6c4f6174afc9e2a87c2a2
  '3.18.2': sha256:855ce1ce862fc2cb7146a04cbe60ba2584ff7df176e07494a2f14d26976b4c2b
  '3.18.1': sha256:0900a5a0d08c786be280d97e5bb6d9ec09e8aec69f4495a91b32e254014ef8e9	
silk_checksum: '{{ silk_checksums[silk_version] }}'

Helfervariablen, die verwendet werden, um die SiLK-Version von der netsa-Tools-Website herunterzuladen.

Abhängigkeiten

• cmusei.fixbuf

Beispiel-Playbook

- hosts: servers
  roles:
     - role: cmusei.silk
       tags: ['silk']

Lizenz

Copyright 2020 Carnegie Mellon University. KEINE GARANTIE. DIESES MATERIAL DER CARNEGIE MELLON UNIVERSITY UND DES SOFTWARE ENGINEERING INSTITUTE WIRD "WIE BESEHEN" BEREITGESTELLT. DIE CARNEGIE MELLON UNIVERSITY GIBT KEINE GARANTIEN IRGENDEINER ART, WEDER AUSDRÜCKLICH NOCH STILLSCHWEIGEND, IN BEZUG AUF IRGENDEINES ANGELEGENHEITEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF, GARANTIE FÜR EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER WARENVERKEHR, EXKLUSIVITÄT ODER ERGEBNISSE, DIE AUS DER NUTZUNG DES MATERIALS ERZIELT WERDEN. DIE CARNEGIE MELLON UNIVERSITY GIBT KEINE GARANTIE IRGENDEINER ART IN BEZUG AUF FREIHEIT VON PATENT-, MARKENRECHTS- ODER URHEBERRECHTSVERLETZUNGEN. Veröffentlicht unter einer MIT (SEI)-Lizenz, bitte siehe license.txt oder kontaktiere permission@sei.cmu.edu für die vollständigen Bedingungen. [DISTRIBUTIONSERKLÄRUNG A] Dieses Material wurde für die öffentliche Veröffentlichung und uneingeschränkte Verbreitung genehmigt. Bitte siehe den Urheberrechtshinweis für die Nutzung und Verbreitung außerhalb der US-Regierung. CERT® ist im US-Patent- und Markenamt von der Carnegie Mellon University registriert. Diese Software beinhaltet und/oder nutzt die folgenden Drittanbieter-Software, die ihren eigenen Lizenzbedingungen unterliegt:

1. ansible (https://github.com/ansible/ansible/tree/devel/licenses) Copyright 2019 Red Hat, Inc.
2. molecule (https://github.com/ansible-community/molecule/blob/master/LICENSE) Copyright 2018 Red Hat, Inc.
3. testinfra (https://github.com/philpep/testinfra/blob/master/LICENSE) Copyright 2020 Philippe Pepiot. DM20-0487

Autoreninformation

Diese Rolle wurde 2019 von Matt Heckathorn erstellt.