Опубликован Clear NDR 1.0, дистрибутив для создания систем обнаружения вторжений

10.09.2025 12:08

Компания Stamus Networks опубликовала выпуск специализированного дистрибутива Clear NDR 1.0, предназначенного для развёртывания систем обнаружения и предотвращения сетевых вторжений, а также организации реагирования на выявленные угрозы и мониторинга безопасности сети. Пользователям предоставляется готовое решение для управления сетевой безопасностью, которое можно использовать сразу после загрузки. Дистрибутив поддерживает работу в Live-режиме и запуск в окружениях виртуализации или контейнерах. Наработки проекта распространяются под лицензией GPLv3. Размер загрузочного образа 3.9 ГБ.

Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные сохраняются в хранилище OpenSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и коллектор данных Fluentd.

Последние 10 лет дистрибутив развивался под именем SELKS, но был переименован в Clear NDR после признания готовности продукта к применению в рабочих решениях для малых и средних предприятий, а также разделения дистрибутива на редакции Community и Enterprise. Enterprise-версия отличается интеграцией с системами машинного обучения, расширенными средствами классификации трафика, интеграцией со сторонними системами реагирования на угрозы, ежедневным обновлением правил обнаружения вторжений и технической поддержкой.

Основные изменения:

Три варианта развёртывания: ISO-образ с графическим интерфейсом для тех кто предпочитает настройку через GUI, ISO-образ с консольным окружением для северов и версия для запуска в изолированных контейнерах.
Система обнаружения и предотвращения сетевых вторжений Suricata до обновлена ветки 8.x.
Выполнен переход с платформы поиска, анализа и хранения данных Elasticsearch на форк OpenSearach 2.
Добавлена поддержка протокола MCP (Model Context Protocol) для интеграции с AI-платформами, позволяющего предоставить AI-ассистентам доступ к собранным данным и инструментам Clear NDR.
В web-интерфейсе предложены новые dashboard-панели и модули визуализации данных. Предложено более 400 модулей визуализации и 58 новых dashboard-панелей.
Добавлена поддержка автоматической обработки потоков информации об угрозах, не требующей ручного написания правил для Suricata.
Ускорен процесс реагирования на инциденты безопасности. Добавлена возможность получить доступ в два клика к доказательствам, ассоциированным с инцидентом, таким как логи, записи потоков трафика, выявленные операции с файлами и PCAP-дампы.
Обеспечена возможность интеграции интерфейса пользователя с другими системами.
Расширены возможности для управления сроком хранения данных (Data Retention).
Встроен механизм уведомления о появлении обновлений и новых релизов.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63857-selks

Ключевые слова: selks, suricata, clearndr

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.2, IdeaFix (ok), 13:51, 10/09/2025 [ответить]	+/–
Всё же сурикату надо курить с начала и до конца. Готовое - не труЪ. Её надо именно внедрять. ИМХО.

2.3, Жироватт (ok), 15:17, 10/09/2025 [^] [^^] [^^^] [ответить]	+/–
Ой, для быстрого развёртывания на виртуалке сгодится и это. Вот еще чего, платить деньги специалисту, который сможет суррикату настроить под клиента

3.5, IdeaFix (ok), 15:41, 10/09/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Ой, для быстрого развёртывания на виртуалке сгодится и это.
> Вот еще чего, платить деньги специалисту, который сможет суррикату настроить под клиента

Блин, я вот с сурикатой в общем работаю и не претендую на исчерпывающие знания, но зачем оно в Live-режиме мне с точки зрения инженера не понятно. Чтобы менеджер посмотрел, ему понравилось и он купил Ынтерпрайс(р) Эдишн? Так всё равно покупать... а коробку или человека - не суть важно. И не надо про зависимость от человека :)

4.6, Жироватт (ok), 17:18, 10/09/2025 [^] [^^] [^^^] [ответить]	+/–
А там есть и нормальные развёртывания на виртуалку

5.9, Аноним (9), 19:20, 10/09/2025 [^] [^^] [^^^] [ответить]	+/–
А на Раст?

1.4, Жироватт (ok), 15:20, 10/09/2025 [ответить]	+/–
А вообще, к таким новостям надо бы вешать таблицу с различиями ПопенСорц(с) и Ынтерпрайс(р) Эдишнс https://www.stamus-networks.com/hubfs/Screenshot%202024-12-09%20at&#

1.7, Аноним (7), 18:28, 10/09/2025 [ответить]	–1 +/–
>Добавлена поддержка протокола MCP (Model Context Protocol) для интеграции с AI-платформами, позволяющего предоставить AI-ассистентам доступ к собранным данным и инструментам Clear NDR. Давайте дадим ИИ-дзяибатсу возможности СОРМ-1,2,3. А то дзяибатсу и так недостаточно данных накопили. Есть и плюс - понаотправляя достаточно пакетов у таких умников весь Ииии-бюджет пойдёт на оплату бесполезных услуг дзяибатсу по обогреву атмосферы. Жить станет теплее, жить станет веселее. Но это неточно.

1.8, Аноним (9), 19:20, 10/09/2025 [ответить]	–1 +/–
Казалось бы что может пойти не так?

1.10, Аноним (10), 21:22, 10/09/2025 [ответить]	+/–
Ваше вторжение не обнаружено. Попробуйте ещё раз.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: