CybersLion

SELKS (Suricata ELK Security): Advanced Usage Guide with Practical Exercises

 

SELKS (Suricata ELK Security): Advanced Usage Guide with Practical Exercises

 Description:
Master SELKS with this advanced usage guide. Learn Suricata IDS/IPS, ELK Stack integration, real-time network monitoring, threat detection, and practical hands-on exercises for cybersecurity professionals.


What is SELKS?

SELKS (Suricata ELK Security) is a Debian-based Linux distribution designed for network security monitoring (NSM) and Security Operations Center (SOC) environments.

It integrates:

  • Suricata: High-performance IDS/IPS for threat detection

  • Elasticsearch: Log storage, indexing, and searching

  • Logstash: Log parsing and filtering

  • Kibana: Visualization dashboards and analytics

  • Filebeat: Log collection and forwarding

SELKS is used for real-time intrusion detection, network threat analysis, SOC monitoring, and incident response.


Key Use Cases

  • Network Intrusion Detection System (IDS)

  • Intrusion Prevention System (IPS)

  • Security Information and Event Management (SIEM)

  • SOC Monitoring and Incident Response

  • Malware traffic detection and analysis

  • Compliance and log auditing


Installing and Setting Up SELKS (Advanced)

1. Download and Install SELKS ISO

2. System Update

sudo apt update && sudo apt upgrade -y

3. Network Interface Setup

  • Interface for management

  • Interface for monitoring in promiscuous mode

ip link set eth1 promisc on

Practical Exercise:
Install SELKS in a virtual environment with two network interfaces (one for management, one for monitoring).


Suricata IDS/IPS – Advanced Usage

Check Suricata Status

sudo systemctl status suricata

Suricata Configuration File

/etc/suricata/suricata.yaml

Run Suricata in IDS Mode

sudo suricata -c /etc/suricata/suricata.yaml -i eth1

IPS Mode with NFQUEUE

sudo suricata -q 0

Suricata Rules – Advanced Analysis

Rules Directory

/etc/suricata/rules/

Example Custom Rule

alert icmp any any -> any any (msg:"ICMP Detected"; sid:1000001; rev:1;)

Update Rules

sudo suricata-update

Practical Exercise:
Generate ping traffic or scan attacks and verify alerts in Kibana dashboards.


ELK Stack (Elasticsearch, Logstash, Kibana)

Elasticsearch

  • Stores all Suricata alerts and network logs

curl http://localhost:9200

Logstash

  • Parses and filters network and IDS logs

/etc/logstash/conf.d/

Kibana Dashboards

  • URL: http://localhost:5601

  • Prebuilt Suricata dashboards: Alerts, Flows, DNS, HTTP, TLS

  • Create custom visualizations for threat analysis

Practical Exercise:
Visualize HTTP, DNS, and TLS traffic trends in Kibana.


Network Traffic Analysis (Advanced)

Capture Traffic with PCAP

tcpdump -i eth1 -w attack.pcap

Analyze PCAP with Suricata

suricata -r attack.pcap -c /etc/suricata/suricata.yaml

Eve.json Logs

/var/log/suricata/eve.json

SOC and Incident Response with SELKS

SELKS enables SOC analysts to:

  • Build attack timelines

  • Track source and destination IPs

  • Map threats to MITRE ATT&CK

  • Identify indicators of compromise (IOCs)

  • Correlate alerts for faster incident response

Real-World Scenario Practice:

  • Brute force attack detection

  • Malware C2 communication

  • Port scanning and reconnaissance alerts


Advanced Threat Hunting in SELKS

  • Detect beaconing traffic

  • Analyze lateral movement in the network

  • Identify suspicious DNS tunneling

  • Inspect encrypted TLS traffic

Kibana Query Example (KQL):

event_type:alert AND alert.signature:*scan*

SELKS vs Other SIEM Platforms

FeatureSELKSSplunkSecurity Onion
Open Source
IDS Integrated
SOC Ready
CostFreeExpensiveFree

Conclusion

SELKS is a powerful, open-source, professional-grade Network Security Monitoring (NSM) platform.

  • Ideal for SOC analysts, blue teams, and cybersecurity professionals

  • Advanced Suricata rules and ELK integration for real-time monitoring

  • Hands-on labs develop practical threat hunting and incident response skills

Using SELKS in isolated labs ensures ethical, safe, and highly effective cybersecurity monitoring and prepares professionals for real-world SOC operations.



SELKS (Suricata ELK Security): उन्नत स्तर उपयोग गाइड और प्रैक्टिकल अभ्यास

 

SELKS (Suricata ELK Security): उन्नत स्तर उपयोग गाइड और प्रैक्टिकल अभ्यास

मेटा विवरण (Meta Description):
SELKS का उन्नत स्तर पर उपयोग सीखें। यह गाइड Suricata, ELK Stack आधारित नेटवर्क सिक्योरिटी मॉनिटरिंग, IDS/IPS, लॉग एनालिसिस और रियल‑टाइम थ्रेट डिटेक्शन को प्रैक्टिकल अभ्यास के साथ समझाती है।

SEO कीवर्ड्स:
SELKS, SELKS Linux, Suricata ELK, IDS IPS Linux, Network Security Monitoring, SIEM Linux, Suricata IDS, ELK Stack Security, SOC Tools, Cyber Security Monitoring


SELKS क्या है? (What is SELKS)

SELKS (Suricata ELK Security) एक Debian‑आधारित Linux डिस्ट्रीब्यूशन है, जिसे विशेष रूप से Network Security Monitoring (NSM) और SOC (Security Operations Center) के लिए डिज़ाइन किया गया है।

SELKS निम्न टूल्स को एकीकृत करता है:

  • Suricata – IDS/IPS और Network Threat Detection

  • Elasticsearch – लॉग स्टोरेज और इंडेक्सिंग

  • Logstash – लॉग प्रोसेसिंग

  • Kibana – विज़ुअल एनालिटिक्स और डैशबोर्ड

  • Filebeat – लॉग कलेक्शन

SELKS का उपयोग रियल‑टाइम नेटवर्क अटैक डिटेक्शन, SOC एनालिसिस, और थ्रेट हंटिंग में किया जाता है।


SELKS के मुख्य उपयोग (Use Cases)

  • Network Intrusion Detection System (IDS)

  • Intrusion Prevention System (IPS)

  • Security Information and Event Management (SIEM)

  • SOC Monitoring और Incident Response

  • Malware Traffic Detection

  • Compliance और Log Auditing


SELKS इंस्टॉलेशन और सेटअप (Advanced)

1. SELKS ISO डाउनलोड और इंस्टॉलेशन

  • आधिकारिक वेबसाइट: https://www.stamus-networks.com

  • इंस्टॉलेशन मोड:

    • Live ISO

    • Dedicated Sensor

    • All‑in‑One (SOC Lab)

2. सिस्टम अपडेट

sudo apt update && sudo apt upgrade -y

3. नेटवर्क इंटरफेस कॉन्फ़िगरेशन

  • एक इंटरफेस मैनेजमेंट के लिए

  • दूसरा promiscuous mode में मॉनिटरिंग के लिए

ip link set eth1 promisc on

प्रैक्टिकल अभ्यास:
VirtualBox या VMware में 2 नेटवर्क इंटरफेस के साथ SELKS इंस्टॉल करें।


Suricata (IDS/IPS) – उन्नत उपयोग

Suricata स्टेटस चेक

sudo systemctl status suricata

Suricata कॉन्फ़िगरेशन फाइल

/etc/suricata/suricata.yaml

IDS मोड रन करना

sudo suricata -c /etc/suricata/suricata.yaml -i eth1

IPS मोड (NFQUEUE)

sudo suricata -q 0

Suricata Rules – Advanced Analysis

Rules डायरेक्टरी

/etc/suricata/rules/

Custom Rule उदाहरण

alert icmp any any -> any any (msg:"ICMP Detected"; sid:1000001; rev:1;)

Rules अपडेट

sudo suricata-update

प्रैक्टिकल अभ्यास:
Ping flood अटैक जनरेट करें और Kibana में अलर्ट देखें।


ELK Stack (Elasticsearch, Logstash, Kibana)

Elasticsearch

  • लॉग स्टोरेज

  • हाई‑परफॉर्मेंस सर्च

curl http://localhost:9200

Logstash

  • लॉग पार्सिंग और फ़िल्टरिंग

/etc/logstash/conf.d/

Kibana Dashboard

  • URL: http://localhost:5601

  • Prebuilt Suricata Dashboards

  • Alerts, Flows, DNS, HTTP, TLS Analysis

प्रैक्टिकल अभ्यास:
Kibana में HTTP और DNS ट्रैफिक का Visualization बनाएं।


Network Traffic Analysis (Advanced)

PCAP Capture

tcpdump -i eth1 -w attack.pcap

PCAP को Suricata से एनालाइज़ करना

suricata -r attack.pcap -c /etc/suricata/suricata.yaml

Eve.json लॉग

/var/log/suricata/eve.json

SOC और Incident Response में SELKS

SELKS SOC Analysts को सक्षम बनाता है:

  • Attack Timeline बनाना

  • Source/Destination IP Tracking

  • MITRE ATT&CK Mapping

  • IOC Identification

  • Alert Correlation

Real‑World Scenario Practice:

  • Brute Force Attack

  • Malware C2 Traffic

  • Port Scan Detection


Advanced Threat Hunting with SELKS

  • Beaconing Detection

  • Lateral Movement Analysis

  • Suspicious DNS Tunneling

  • Encrypted Traffic (TLS) Inspection

Kibana Queries (KQL):

event_type:alert AND alert.signature:*scan*

SELKS बनाम अन्य SIEM

FeatureSELKSSplunkSecurity Onion
Open Source
IDS Integrated
SOC Ready
CostFreeExpensiveFree

निष्कर्ष (Conclusion)

SELKS एक पावरफुल, ओपन‑सोर्स और प्रोफेशनल‑ग्रेड Network Security Monitoring प्लेटफॉर्म है।

✔ SOC Analysts
✔ Blue Team
✔ Cyber Defense Professionals
✔ Incident Responders

के लिए यह एक अनिवार्य टूल है।

SELKS के उन्नत अभ्यास से आप:

  • रियल‑टाइम अटैक डिटेक्ट कर सकते हैं

  • नेटवर्क ट्रैफिक को गहराई से समझ सकते हैं

  • प्रोफेशनल SOC स्किल्स विकसित कर सकते हैं