网络入侵检测开源项目 Security Onion-FancyPig's blog

介绍

Security Onion是一个免费和开放的Linux发行版，用于威胁搜索、企业安全监控和日志管理。

易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队
Security Onion包括一个原生的网络界面，其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等。

此外，还包括第三方工具，如Elasticsearch、Logstash、Kibana、Suricata、Zeek（以前称为Bro）、Wazuh、NetworkMiner、CyberChef、NetworkMiner等等。

用例

NIDS 网络入侵检测系统
HIDS 系统内部入侵检测系统
静态分析 支持PCAP、EVTX导入
SOC 安全运营平台

图片[2]-网络入侵检测开源项目 Security Onion-FancyPig's blog

界面展示

图片[3]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 告警

图片[4]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 威胁狩猎

图片[5]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 读取Pcap包

图片[6]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 威胁事件

图片[7]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 控制面板

图片[8]-网络入侵检测开源项目 Security Onion-FancyPig's blog — 分析研判

运行脚本安装

CentOS环境

如果没有git，先安装git

sudo yum -y install git

然后下载仓库，运行一键安装脚本

git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network

Ubuntu环境

如果没有git，先安装git

sudo apt -y install git curl

然后下载仓库，运行一键安装脚本

git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network

安装过程

运行完脚本会弹出古老的图形化界面，在<Yes>上回车

图片[9]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后继续回车

图片[10]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后输入AGREE

图片[11]-网络入侵检测开源项目 Security Onion-FancyPig's blog

输入自定义的hostname

图片[12]-网络入侵检测开源项目 Security Onion-FancyPig's blog

继续回车

图片[13]-网络入侵检测开源项目 Security Onion-FancyPig's blog

回车

图片[14]-网络入侵检测开源项目 Security Onion-FancyPig's blog

回车

图片[15]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后按空格选择网卡，前面会出现*号

图片[16]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择网卡，回车

图片[17]-网络入侵检测开源项目 Security Onion-FancyPig's blog

初始化网络，回车

图片[18]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择Direct直连，我们不需要代理，按回车

图片[19]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里会开始进行预装检测

图片[20]-网络入侵检测开源项目 Security Onion-FancyPig's blog

预装检测完成后，会让我们选择监控流量的网卡，我们依旧是按空格选择网卡

图片[21]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择监控流量的网卡，回车

图片[22]-网络入侵检测开源项目 Security Onion-FancyPig's blog

根据个人情况选择更新计划，我们这里默认是Automatic，每8个小时一更，继续回车

图片[23]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里可以输入网段，使用默认的，然后回车

图片[24]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里需要选择要安装的开源程序，默认全部安装，回车

图片[25]-网络入侵检测开源项目 Security Onion-FancyPig's blog

是否使用默认的IP范围，选择是，回车

图片[26]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后创建web管理员账户，按需创建

图片[27]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后输入密码

图片[28]-网络入侵检测开源项目 Security Onion-FancyPig's blog

重复输入密码确认后，继续回车

图片[29]-网络入侵检测开源项目 Security Onion-FancyPig's blog

根据自己网段进行输入

图片[30]-网络入侵检测开源项目 Security Onion-FancyPig's blog

继续回车

图片[31]-网络入侵检测开源项目 Security Onion-FancyPig's blog

程序进入自动升级状态

图片[32]-网络入侵检测开源项目 Security Onion-FancyPig's blog

需要一定的时间

图片[33]-网络入侵检测开源项目 Security Onion-FancyPig's blog

防火墙开放端口

我们需要使用下面的命令

so-allow

图片[34]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后就好了

图片[35]-网络入侵检测开源项目 Security Onion-FancyPig's blog

图片[36]-网络入侵检测开源项目 Security Onion-FancyPig's blog

常见问题

安装相关问题

如果安装中出现了报错，应该如何排查？

我们可以通过下面命令进行查看

sudo so-status

图片[37]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里发现了很多标红的，我们逐个进行启动即可，这里举个例子，比方说我们要启动mysql

sudo so-mysql-start

你如果不确认命令，可以输入so-mysql然后按tab自动补齐，如果启动出现了问题会有提示的，我们这里是端口被占用了，因此我们需要去kill掉3306端口的进程，这里解释下，因为我之前服务器装了宝塔面板，因此这里mysql可能会出现冲突！

图片[38]-网络入侵检测开源项目 Security Onion-FancyPig's blog

playbook一直是error，打开页面404？

如果出现这个问题，你可以先尝试重启playbook

so-playbook-restart

图片[39]-网络入侵检测开源项目 Security Onion-FancyPig's blog

我们这里发现是数据表导入出现了问题，这里需要先停止salt服务

so-salt-stop

然后导入数据表

salt-call state.apply playbook.db_init

之后启动salt

so-salt-start

启动playbook

so-playbook-start

这里发现刚才报错的表正常了

图片[40]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后我们可以查看整个的运行状况

so-status

这里可以看到完全正常了

图片[41]-网络入侵检测开源项目 Security Onion-FancyPig's blog

使用相关问题

如果我想导入pcap进行分析应该如何操作？

我们可以使用下面的命令进行导入

so-pcap-import [pcap]

图片[42]-网络入侵检测开源项目 Security Onion-FancyPig's blog

系统会使用Suricata、Zeek开源规则进行分析，最后生成一个狩猎的页面，我们可以复制到浏览器里进行查看

图片[43]-网络入侵检测开源项目 Security Onion-FancyPig's blog

图片[44]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如果想查看告警则需要在Alerts里，调整好时间

图片[45]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后每一条告警就可以看到了

图片[46]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如果想详细看某个告警的信息，可以点击Drilldown

图片[47]-网络入侵检测开源项目 Security Onion-FancyPig's blog

图片[48]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如何查看威胁狩猎中的详细pcap包？

在老版本2.0中我们可以看到是左侧有一个很明显的pcap标志

图片[49]-网络入侵检测开源项目 Security Onion-FancyPig's blog

最新版本需要手动左键Actions>Pcap

图片[50]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后就会自动跳转到Pcap的页面

图片[51]-网络入侵检测开源项目 Security Onion-FancyPig's blog

部分平台如playbook不能使用我们一开始创建的账户登录

你可能会遇到部分平台无法使用我们自定义的账户登录的情况，这时我们可以使用下面的命令去查看默认密码

sudo salt-call pillar.get secrets

譬如，这里我们就可以看到playbook的admin账户的密码

图片[52]-网络入侵检测开源项目 Security Onion-FancyPig's blog

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END

安全研发网安笔记
# securityonion使用指南 # securityonion实际 # securityonion使用 # SecurityOnion # securityonion安装 # securityonion-2.3.80 # nids # HIDS # 网络入侵检测系统

评论共6条

请登录后发表评论

登录注册

只看作者

- YT08140
  想问一下大概下载多长时间呀，我下载了也别长时间没下载下来，挂代理会好点吗？
  2个月前回复
- - FancyPig作者0
    挂代理会快很多
    2个月前@YT0814回复
- H-COD-K0
  滴！猪头粉丝卡！打卡时间：22:48:31，请上车的乘客系好安全带~
  11个月前回复
- root60
  滴！猪头粉丝卡！打卡时间：18:28:07，请上车的乘客系好安全带~
  11个月前回复
- 拔剑0
  滴！猪头粉丝卡！打卡时间：下午12:36:08，请上车的乘客系好安全带~
  11个月前回复
- 风之凯0
  滴！猪头粉丝卡！打卡时间：上午8:42:25，请上车的乘客系好安全带~
  11个月前回复

网络入侵检测开源项目 Security Onion

介绍

用例

界面展示

运行脚本安装

CentOS环境

Ubuntu环境

安装过程

防火墙开放端口

常见问题

安装相关问题

如果安装中出现了报错，应该如何排查？

playbook一直是error，打开页面404？

使用相关问题

如果我想导入pcap进行分析应该如何操作？

如何查看威胁狩猎中的详细pcap包？

部分平台如playbook不能使用我们一开始创建的账户登录

如何隐藏自己的真实IP地址防止被溯源/恶意钓鱼

【DVWA全攻略】DVWA CSRF 实验

【DVWA全攻略】DVWA File Upload实验

2021Kali linux安装burpsuite pro专业版教程

请登录后发表评论

网络入侵检测开源项目 Security Onion

介绍

用例

界面展示

运行脚本安装

CentOS环境

Ubuntu环境

安装过程

防火墙开放端口

常见问题

安装相关问题

如果安装中出现了报错，应该如何排查？

playbook一直是error，打开页面404？

使用相关问题

如果我想导入pcap进行分析应该如何操作？

如何查看威胁狩猎中的详细pcap包？

部分平台如playbook不能使用我们一开始创建的账户登录

如何隐藏自己的真实IP地址 防止被溯源/恶意钓鱼

【DVWA全攻略】DVWA CSRF 实验

【DVWA全攻略】DVWA File Upload实验

2021Kali linux安装burpsuite pro专业版教程

请登录后发表评论

如何隐藏自己的真实IP地址防止被溯源/恶意钓鱼