请选择 进入手机版 | 继续访问电脑版

开源网络安全监控平台—SecurityOnion

[复制链接]
查看: 2191|回复: 17
avatar

630

主题

630

帖子

1920

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
1920
online_admin 发表于 2021-8-25 22:16:05 | 显示全部楼层 |阅读模式
01简介

安全洋葱(Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。

凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。

安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh和许多其他工具。

Security Onion已被下载超过 200万次,并被世界各地的安全团队用于监控和保护他们的企业。
02功能

在传统企业网络中,我们可以使用 Security Onion:

1.监控南北流量,以检测外部人员侵入内部环境。

2.监控内部数据流动以检测异常的横向渗透攻击。

3.仅靠网络数据分析并不充分,因为越来越多的应用使用加密的方式传输数据,SecurityOnion通过终端遥测形式的来弥补这些盲点。

4.Security Onion还可以收集来自您的服务器和工作站的日志,以便发现网络中的异常。


03部署架构

如果要在企业网络内部署 Security Onion,我们首先需要根据企业网络状况和功能需求选择部署架构。
SecurityOnion提供了导入模式,评估模式,独立模式,分布式4种部署架构。

一般情况下,小型的办公网络或实验室可以使用独立模式,对于大型的企业网络,建议使用分布式部署架构。

3.1.导入架构,这是最简单的架构,只有1个Import节点
在节点上可以使用so-import-pcap导入pcap捕捉的数据,再使用Suricata和Zeek进行分析,分析结果导入Elasticsearch,然后通过安全洋葱控制台(SOC)来查看。

3.2.评估架构主要用于快速安装临时测试评估SecurityOnion,并不适用于正式的网络环境。

比导入架构稍微复杂,可以直接从TAP(网络分流器)抓取并分析数据包。

3.3.独立模式,不具扩展性,一般用于测试,实验室,POC或网络流量非常小的环境


在评估模式下增加了2个LogStash管道,可以将多种来源的数据转换后存储到Redis以及从Redis提取数据到Elasticsearch。

3.4.分布式,官方推荐的部署模式,可扩展性强,性能更高。

由1个管理节点,多个转发节点和多个搜索节点组成(另外一种重负载节点的分布式方式因性能不高,不在本文内介绍)


3.4.1.管理节点:

管理员或分析人员从自己的电脑通过Web或者SSH连接到管理器节点以执行查询和检索数据。

管理节点的主要处理数据存储,搜索,分析,显示及预警。


3.4.2.转发节点:

相当于网络中的传感器,利用FileBeat或WinLogBeat将所有日志转发到管理节点上的Logstash。

3.4.3.搜索节点:

使用Elasticsearch的跨集群搜索实现分布式部署。它会创建一个本地Elasticsearch实例,然后配置管理器节点以查询该实例。

搜索节点从管理器节点上的Redis队列中提取日志,然后解析这些日志并建立索引。当用户查询管理节点时,管理节点再查询存储节点,并返回搜索结果。

04其他

4.1.硬件要求

导入模式(最低要求):

  • 4GB内存
  • 2个 CPU内核
  • 200GB存储空间

其他模式:

  • 12GB内存
  • 4个 CPU内核
  • 200GB存储空间

建议双网卡,其中一个专用于管理网络,一个用于网络嗅探。

4.2.安装镜像建议从SecurityOnion官网下载,最新版本2.3,官网ISO镜像包含了CentOS7X64和SecurityOnion相关组件。

SecurityOnion目前仅支持在CentOS 7X64和Ubuntu 18.04上运行。

最后我们看看Security Onion可视化界面




对于进一步的安装,配置,操作及数据分析有兴趣可以关注我。
回复

使用道具 举报

avatar

0

主题

6

帖子

22

积分

新手上路

Rank: 1

积分
22
在线会员 发表于 2021-8-25 22:17:04 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

3

帖子

16

积分

新手上路

Rank: 1

积分
16
在线会员 发表于 2021-8-25 22:17:39 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

5

帖子

20

积分

新手上路

Rank: 1

积分
20
在线会员 发表于 2021-8-25 22:18:38 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

2

帖子

14

积分

新手上路

Rank: 1

积分
14
在线会员 发表于 2021-8-25 22:19:00 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

11

帖子

32

积分

新手上路

Rank: 1

积分
32
在线会员 发表于 2021-8-25 22:19:50 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

4

帖子

18

积分

新手上路

Rank: 1

积分
18
在线会员 发表于 2021-8-25 22:20:17 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

2

帖子

14

积分

新手上路

Rank: 1

积分
14
在线会员 发表于 2021-8-25 22:20:25 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

6

帖子

22

积分

新手上路

Rank: 1

积分
22
在线会员 发表于 2021-8-25 22:21:24 | 显示全部楼层
转发了
回复

使用道具 举报

avatar

0

主题

5

帖子

20

积分

新手上路

Rank: 1

积分
20
在线会员 发表于 2021-8-25 22:22:01 | 显示全部楼层
转发了
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies

本版积分规则

logo
  • 反馈建议:893566502@qq.com
  • 工作时间:周一到周五 10:00-19:00

关注我们

  • wx