SiLK

SiLK，即网络级知识系统，是由CERT网络态势感知团队（CERT NetSA）开发的一套流量分析工具，旨在帮助大型网络的安全分析。SiLK工具套件支持高效收集、存储和分析网络流量数据，使网络安全分析师能够快速查询大量历史流量数据集。SiLK特别适合用于分析大型分布式企业或中型互联网服务提供商的骨干或边界流量。

SiLK的安装包括两个类别的应用程序：打包系统和分析套件。打包系统收集IPFIX、NetFlow v9或NetFlow v5数据，并将其转换为更节省空间的格式，将打包记录记录到特定服务的二进制平面文件中。分析套件由能够读取这些平面文件并执行各种查询操作的工具组成，这些操作范围从逐条记录过滤到对记录组的统计分析。分析工具通过管道相互操作，允许用户从简单的开始开发出相对复杂的查询。

角色变量

下面列出了可用变量及其默认值（请参见defaults/main.yml）：

silk_version

要安装的SiLK版本。主分支将始终指向最新的可用版本。

netsa_url: "http://tools.netsa.cert.org/releases/"
silk_name: "silk-{{ silk_version }}"
silk_tgz: "{{ silk_name }}.tar.gz"
silk_url: "{{ netsa_url }}{{ silk_tgz }}"
silk_timeout: 10
silk_checksums:
  '3.19.1': sha256:b287de07502c53d51e9ccdcc17a46d8a4d7a59db9e5ae7add7b82458a9da45a7
  '3.19.0': sha256:0f5bdcf437a1dc0429a5acb48b8e9ef18050999a230920369c05b2db9f020695
  '3.18.3': sha256:25fc734d6cac7d39285877ff5efd78bd4e5bb34523a6c4f6174afc9e2a87c2a2
  '3.18.2': sha256:855ce1ce862fc2cb7146a04cbe60ba2584ff7df176e07494a2f14d26976b4c2b
  '3.18.1': sha256:0900a5a0d08c786be280d97e5bb6d9ec09e8aec69f4495a91b32e254014ef8e9	
silk_checksum: '{{ silk_checksums[silk_version] }}'

用于从netsa工具网站下载SiLK发布的辅助变量。

依赖项

• cmusei.fixbuf

示例剧本

- hosts: servers
  roles:
     - role: cmusei.silk
       tags: ['silk']

许可证

版权 © 2020 卡内基梅隆大学。 没有保证。此卡内基梅隆大学和软件工程研究所材料提供的基础为“按现状”。卡内基梅隆大学不对任何事项提供任何种类的保证，包括但不限于适用性或适销性、独占性或使用材料所获得的结果的保证。卡内基梅隆大学不对任何与专利、商标或版权侵权相关的事项提供任何保证。 根据MIT（SEI）风格许可证发布，请参见license.txt或联系permission@sei.cmu.edu获取完整条款。 [分发声明A] 本材料已获得公开发布和无限分发的批准。请参见版权声明以获取非美国政府使用和分发的信息。 CERT®在美国专利商标局注册，由卡内基梅隆大学管理。 本软件包括和/或使用以下第三方软件，受其自身许可证的约束：

1. ansible (https://github.com/ansible/ansible/tree/devel/licenses) 版权 © 2019 红帽公司。
2. molecule (https://github.com/ansible-community/molecule/blob/master/LICENSE) 版权 © 2018 红帽公司。
3. testinfra (https://github.com/philpep/testinfra/blob/master/LICENSE) 版权 © 2020 Philippe Pepiot。 DM20-0487

作者信息

该角色于2019年由Matt Heckathorn创建。