开源网络安全监控平台—Security Onion
01简介
安全洋葱(Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。
凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。
安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh和许多其他工具。
Security Onion已被下载超过 200万次,并被世界各地的安全团队用于监控和保护他们的企业。
02功能
在传统企业网络中,我们可以使用 Security Onion:
1.监控南北流量,以检测外部人员侵入内部环境。
2.监控内部数据流动以检测异常的横向渗透攻击。
3.仅靠网络数据分析并不充分,因为越来越多的应用使用加密的方式传输数据,SecurityOnion通过终端遥测形式的来弥补这些盲点。
4.Security Onion还可以收集来自您的服务器和工作站的日志,以便发现网络中的异常。
03部署架构
如果要在企业网络内部署 Security Onion,我们首先需要根据企业网络状况和功能需求选择部署架构。
SecurityOnion提供了导入模式,评估模式,独立模式,分布式4种部署架构。
一般情况下,小型的办公网络或实验室可以使用独立模式,对于大型的企业网络,建议使用分布式部署架构。
3.1.导入架构,这是最简单的架构,只有1个Import节点。
在节点上可以使用so-import-pcap导入pcap捕捉的数据,再使用Suricata和Zeek进行分析,分析结果导入Elasticsearch,然后通过安全洋葱控制台(SOC)来查看。
3.2.评估架构,主要用于快速安装临时测试评估SecurityOnion,并不适用于正式的网络环境。
比导入架构稍微复杂,可以直接从TAP(网络分流器)抓取并分析数据包。
3.3.独立模式,不具扩展性,一般用于测试,实验室,POC或网络流量非常小的环境。
在评估模式下增加了2个LogStash管道,可以将多种来源的数据转换后存储到Redis以及从Redis提取数据到Elasticsearch。
3.4.分布式,官方推荐的部署模式,可扩展性强,性能更高。
由1个管理节点,多个转发节点和多个搜索节点组成(另外一种重负载节点的分布式方式因性能不高,不在本文内介绍)
3.4.1.管理节点:
管理员或分析人员从自己的电脑通过Web或者SSH连接到管理器节点以执行查询和检索数据。
管理节点的主要处理数据存储,搜索,分析,显示及预警。
3.4.2.转发节点:
相当于网络中的传感器,利用FileBeat或WinLogBeat将所有日志转发到管理节点上的Logstash。
3.4.3.搜索节点:
使用Elasticsearch的跨集群搜索实现分布式部署。它会创建一个本地Elasticsearch实例,然后配置管理器节点以查询该实例。
搜索节点从管理器节点上的Redis队列中提取日志,然后解析这些日志并建立索引。当用户查询管理节点时,管理节点再查询存储节点,并返回搜索结果。
04其他
4.1.硬件要求
导入模式(最低要求):
- 4GB内存
- 2个 CPU内核
- 200GB存储空间
其他模式:
- 12GB内存
- 4个 CPU内核
- 200GB存储空间
建议双网卡,其中一个专用于管理网络,一个用于网络嗅探。
4.2.安装镜像建议从SecurityOnion官网下载,最新版本2.3,官网ISO镜像包含了CentOS7X64和SecurityOnion相关组件。
SecurityOnion目前仅支持在CentOS 7X64和Ubuntu 18.04上运行。
最后我们看看Security Onion可视化界面
对于进一步的安装,配置,操作及数据分析有兴趣可以关注我。