silk
SiLK
SiLK, или Система для знаний на уровне Интернета, является набором инструментов для анализа трафика, разработанных командой CERT Network Situational Awareness Team (CERT NetSA) для облегчения анализа безопасности больших сетей. Набор инструментов SiLK поддерживает эффективный сбор, хранение и анализ данных сетевого трафика, позволяя аналитикам по безопасности быстро запрашивать большие исторические наборы данных о трафике. SiLK особенно подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или среднего интернет-провайдера.
Установка SiLK состоит из двух категорий приложений: системы упаковки и набора для анализа. Система упаковки собирает IPFIX, NetFlow v9 или NetFlow v5 и преобразует данные в более экономичный по пространству формат, записывая упакованные записи в двоичный файл плоского формата, специфичный для сервиса. Набор для анализа включает инструменты, которые читают эти плоские файлы и выполняют различные операции запросов, начиная от фильтрации по записям до статистического анализа групп записей. Инструменты анализа взаимодействуют через каналы, позволяя пользователю развивать относительно сложный запрос из простого начала.
Переменные роли
Доступные переменные приведены ниже, вместе с значениями по умолчанию (см. defaults/main.yml):
silk_version
Версия SiLK для установки. Основная ветка всегда будет указывать на последнюю доступную версию.
netsa_url: "http://tools.netsa.cert.org/releases/"
silk_name: "silk-{{ silk_version }}"
silk_tgz: "{{ silk_name }}.tar.gz"
silk_url: "{{ netsa_url }}{{ silk_tgz }}"
silk_timeout: 10
silk_checksums:
'3.19.1': sha256:b287de07502c53d51e9ccdcc17a46d8a4d7a59db9e5ae7add7b82458a9da45a7
'3.19.0': sha256:0f5bdcf437a1dc0429a5acb48b8e9ef18050999a230920369c05b2db9f020695
'3.18.3': sha256:25fc734d6cac7d39285877ff5efd78bd4e5bb34523a6c4f6174afc9e2a87c2a2
'3.18.2': sha256:855ce1ce862fc2cb7146a04cbe60ba2584ff7df176e07494a2f14d26976b4c2b
'3.18.1': sha256:0900a5a0d08c786be280d97e5bb6d9ec09e8aec69f4495a91b32e254014ef8e9
silk_checksum: '{{ silk_checksums[silk_version] }}'
Вспомогательные переменные, используемые для загрузки релиза SiLK с сайта netsa tools.
Зависимости
- cmusei.fixbuf
Пример плейбука
- hosts: servers
roles:
- role: cmusei.silk
tags: ['silk']
Лицензия
Авторские права 2020 года, Карнеги-Меллон университет.
БЕЗ ГАРАНТИЙ. ДАННЫЙ МАТЕРИАЛ КАРНЕГИ-МЕЛЛОН УНИВЕРСИТЕТА И ИНСТИТУТА ПОЯВЛЯЕТСЯ "КАК ЕСТЬ". КАРНЕГИ-МЕЛЛОН УНИВЕРСИТЕТ НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ЛИЧНЫХ ИЛИ ПРОЯВЛЕННЫХ, ПО ЛЮБОМУ ВОПРОСУ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ: ГАРАНТИЯ ПРИГОДНОСТИ ДЛЯ ЦЕЛИ ИЛИ ТОВАРНЫХ ХАРАКТЕРИСТИК, ЭКСКЛЮЗИВНОСТИ, ИЛИ РЕЗУЛЬТАТОВ, ПОЛУЧЕННЫХ ОТ ИСПОЛЬЗОВАНИЯ МАТЕРИАЛА. КАРНЕГИ-МЕЛЛОН УНИВЕРСИТЕТ НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ ПО ОТНОШЕНИЮ К СВОБОДЕ ОТ ПАТЕНТА, ТОРГОВОЙ МАРКИ ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.
Опубликовано под лицензией в стиле MIT (SEI), пожалуйста, смотрите license.txt или свяжитесь с permission@sei.cmu.edu для получения полных условий.
[ЗАЯВЛЕНИЕ О РАСПРЕДЕЛЕНИИ A] Этот материал был одобрен для публичного выпуска и неограниченного распространения. Пожалуйста, смотрите уведомление об авторских правах для использования и распространения не в правительственных целях в США.
CERT® зарегистрирован в Патентном и товарном ведомстве США Карнеги-Меллон университетом.
Это программное обеспечение включает и/или использует следующее программное обеспечение третьих лиц, которое подлежит собственной лицензии:
- ansible (https://github.com/ansible/ansible/tree/devel/licenses) Авторское право 2019 года, Red Hat, Inc.
- molecule (https://github.com/ansible-community/molecule/blob/master/LICENSE) Авторское право 2018 года, Red Hat, Inc.
- testinfra (https://github.com/philpep/testinfra/blob/master/LICENSE) Авторское право 2020 года, Philippe Pepiot.
DM20-0487
Информация об авторе
Эта роль была создана в 2019 году Мэттом Хекахорном.
A role to install and configure the SiLK analysis and collection tools
ansible-galaxy install cmu-sei/ansible-role-silk