Представлен дистрибутив для создания систем обнаружения вторжений Clear NDR 1.0

Команда разработчиков из Stamus Networks представила выпуск специализированного дистрибутива Clear NDR 1.0. Решение предназначено для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети.

Пользователям в рамках выпуска Clear NDR 1.0 предоставляется готовый комплект инструментов для управления сетевой безопасностью, которые можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live‑режиме, запуск в окружениях виртуализации или контейнерах. Наработки проекта опубликованы под лицензией GPLv3. Размер загрузочного образа составляет 3.9 ГБ.

Дистрибутив Clear NDR 1.0 построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные сохраняются в хранилище OpenSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается веб‑интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется веб‑интерфейс Stamus. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и коллектор данных Fluentd.

Последние 10 лет дистрибутив развивался под именем SELKS, но был переименован в Clear NDR после признания готовности продукта к применению в рабочих решениях для малых и средних предприятий, а также разделения дистрибутива на редакции Community и Enterprise. Enterprise‑версия Clear NDR отличается интеграцией с системами машинного обучения, расширенными средствами классификации трафика, интеграцией со сторонними системами реагирования на угрозы, ежедневным обновлением правил обнаружения вторжений и