Security Onion 被设计为基于 Oracle Linux 9 的独立 Linux 发行版。该系统可以安装在物理硬件或虚拟机 (VM) 上,例如 VMware Workstation Pro、Hyper-V 或 Proxmox。但是,开发人员还提供 Azure、AWS 和 GCP 的映像。
Security Onion 部署的用例
该解决方案通过入侵检测系统 (IDS) 工具(如安全信息和事件管理 (SIEM) 和网络安全监控 (NSM))提供对网络流量的全面洞察。
此外,它还允许实时警报和访问历史数据。这有助于识别和快速响应潜在威胁。
Security Onion 专注于管理来自各个服务器和网络设备的日志文件。它可以导入和分析这些文件。Security Onion 支持多种格式,包括 Syslog。
在 VMware Workstation 上安装 Security Onion
下载大约 11 GB 的 ISO 文件后,创建一个 VM,选择“典型”,然后附加 ISO。VMware Workstation 可识别 Oracle Linux 9 操作系统。
对于 VM 配置,无论选择哪种虚拟器,都应遵守硬件要求:
- 200 GB 的虚拟硬盘存储空间,使 Security Onion 的所有功能都可用。将其存储在单个文件中。
- 至少 4 GB 的 RAM,但 8 或 16 GB 更好。
- 2 到 8 个虚拟 CPU。
- NAT 连接或桥接网络可用于联网。第一个适配器管理 Security Onion。若要进行网络监视,请将另一个桥接适配器添加到 VM。
添加用于网络监视的网络适配器
使用 Security Onion 启动 VM 后,安装操作系统和各种工具。设置是通过向导完成的。首先确认磁盘的删除并创建管理员用户。
使用向导安装 Security Onion
完成基本安装并重新启动后,可以配置环境。Security Onion 还为此提供了一个向导,该过程是不言自明的。
必须正确分配用于监视和管理的网络适配器,并设置可以访问管理接口的 IP 地址或 IP 子网。
安装后配置 Security Onion
Security Onion 入门
在终端登录后,您可以使用此命令查看 Security Onion 的各个服务
sudo so-status
如果所有服务都已启动且没有错误,则可以登录到 Web 界面。可以从终端获取此 URL。
检查 Security Onion 服务
控制台将各种工具聚合到一个界面下。有关网络流量的初始信息可在“仪表板”菜单项下找到。
有关各种可能性的更多信息,请参阅面向初次使用的用户的 Security Onion 文档。
启动 Security Onion 的 Web 界面后显示网络信息
“网格”菜单项显示 Security Onion 通过其启动服务的各个容器的状态。在较大的环境中,Security Onion 的多个实例可以组合到一个通用平台中,其中各个节点承担专用任务。
将事件从 Windows Server 导入 Security Onion
若要将日志从 Windows 服务器导入到 Security Onion,首先,将服务器上的日志保存到 EVTX 文件中。这可以在事件查看器 (eventvwr.msc) 中完成,在右键单击日志(例如,Windows 日志 => 系统)后,执行命令“将所有事件另存为”。
在 Windows Server 上使用事件查看器保存日志条目
随后,您可以使用节点状态下的上传图标,通过网格下的 Web 浏览器控制台将文件导入到 Security Onion 中,以便进一步分析。当然,这个过程需要一些时间。分析后,可以读出警报中的信息。
将 Windows Server 的日志文件导入 Security Onion
或者,要手动导入,您可以使用弹性 Winlogbeat 代理将事件日志从 Windows 系统传输到 Security Onion 的 Logstash 服务器。借助 winlogbeat.yml,您可以定义服务器应将哪些事件转发到 Security Onion。代理包含用于此目的的示例文件。
正如预期的那样,该分析侧重于指示网络攻击和可疑活动的安全相关条目。其中包括用户登录、失败的登录和访问尝试。
Security Onion 还可以查找恶意软件活动的迹象,例如异常文件操作、注册表更改或可疑的网络通信。
总结
Security Onion 是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。
版权归原作者 allway2 所有, 如有侵权,请联系我们删除。