Команда разработчиков из Stamus Networks представила выпуск специализированного дистрибутива Clear NDR 1.0. Решение предназначено для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети.
Пользователям в рамках выпуска Clear NDR 1.0 предоставляется готовый комплект инструментов для управления сетевой безопасностью, которые можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live‑режиме запуск в окружениях виртуализации или контейнерах. Наработки проекта опубликованы под лицензией GPLv3. Размер загрузочного образа составляет 3.9 ГБ.
Дистрибутив Clear NDR 1.0 построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные сохраняются в хранилище OpenSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается веб‑интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется веб‑интерфейс Stamus. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и коллектор данных Fluentd.
Последние 10 лет дистрибутив развивался под именем SELKS, но был переименован в Clear NDR после признания готовности продукта к применению в рабочих решениях для малых и средних предприятий, а также разделения дистрибутива на редакции Community и Enterprise. Enterprise‑версия Clear NDR отличается интеграцией с системами машинного обучения, расширенными средствами классификации трафика, интеграцией со сторонними системами реагирования на угрозы, ежедневным обновлением правил обнаружения вторжений и технической поддержкой.
По информации OpenNET, основные изменения и доработки в Clear NDR 1.0:
три варианта развёртывания: ISO‑образ с графическим интерфейсом для тех кто предпочитает настройку через GUI, ISO‑образ с консольным окружением для северов и версия для запуска в изолированных контейнерах;
система обнаружения и предотвращения сетевых вторжений Suricata до обновлена ветки 8.x;
выполнен переход с платформы поиска, анализа и хранения данных Elasticsearch на форк OpenSearach 2;
добавлена поддержка протокола MCP (Model Context Protocol) для интеграции с ИИ‑платформами, позволяющего предоставить ИИ‑ассистентам доступ к собранным данным и инструментам Clear NDR;
в веб‑интерфейсе предложены новые dashboard‑панели и модули визуализации данных. Предложено более 400 модулей визуализации и 58 новых dashboard‑панелей;
добавлена поддержка автоматической обработки потоков информации об угрозах, не требующей ручного написания правил для Suricata;
ускорен процесс реагирования на инциденты безопасности. Добавлена возможность получить доступ в два клика к доказательствам, ассоциированным с инцидентом, таким как логи, записи потоков трафика, выявленные операции с файлами и PCAP‑дампы;
обеспечена возможность интеграции интерфейса пользователя с другими системами;
расширены возможности для управления сроком хранения данных (Data Retention);
встроен механизм уведомления о появлении обновлений и новых релизов.
Источник: habr.com