网络入侵检测开源项目 Security Onion

介绍

图片[1]-网络入侵检测开源项目 Security Onion-FancyPig's blog

Security Onion是一个免费和开放的Linux发行版,用于威胁搜索企业安全监控日志管理

易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队
Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报威胁狩猎将证据编入案例监控网格性能等。

此外,还包括第三方工具,如ElasticsearchLogstashKibanaSuricataZeek(以前称为Bro)WazuhNetworkMinerCyberChefNetworkMiner等等。

用例

  • NIDS 网络入侵检测系统
  • HIDS 系统内部入侵检测系统
  • 静态分析 支持PCAP、EVTX导入
  • SOC 安全运营平台
图片[2]-网络入侵检测开源项目 Security Onion-FancyPig's blog

界面展示

图片[3]-网络入侵检测开源项目 Security Onion-FancyPig's blog
告警
图片[4]-网络入侵检测开源项目 Security Onion-FancyPig's blog
威胁狩猎
图片[5]-网络入侵检测开源项目 Security Onion-FancyPig's blog
读取Pcap包
图片[6]-网络入侵检测开源项目 Security Onion-FancyPig's blog
威胁事件
图片[7]-网络入侵检测开源项目 Security Onion-FancyPig's blog
控制面板
图片[8]-网络入侵检测开源项目 Security Onion-FancyPig's blog
分析研判

运行脚本安装

CentOS环境

如果没有git,先安装git

sudo yum -y install git

然后下载仓库,运行一键安装脚本

git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network

Ubuntu环境

如果没有git,先安装git

sudo apt -y install git curl

然后下载仓库,运行一键安装脚本

git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network

安装过程

运行完脚本会弹出古老的图形化界面,在<Yes>上回车

图片[9]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后继续回车

图片[10]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后输入AGREE

图片[11]-网络入侵检测开源项目 Security Onion-FancyPig's blog

输入自定义的hostname

图片[12]-网络入侵检测开源项目 Security Onion-FancyPig's blog

继续回车

图片[13]-网络入侵检测开源项目 Security Onion-FancyPig's blog

回车

图片[14]-网络入侵检测开源项目 Security Onion-FancyPig's blog

回车

图片[15]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后按空格选择网卡,前面会出现*号

图片[16]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择网卡,回车

图片[17]-网络入侵检测开源项目 Security Onion-FancyPig's blog

初始化网络,回车

图片[18]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择Direct直连,我们不需要代理,按回车

图片[19]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里会开始进行预装检测

图片[20]-网络入侵检测开源项目 Security Onion-FancyPig's blog

预装检测完成后,会让我们选择监控流量的网卡,我们依旧是按空格选择网卡

图片[21]-网络入侵检测开源项目 Security Onion-FancyPig's blog

选择监控流量的网卡,回车

图片[22]-网络入侵检测开源项目 Security Onion-FancyPig's blog

根据个人情况选择更新计划,我们这里默认是Automatic,每8个小时一更,继续回车

图片[23]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里可以输入网段,使用默认的,然后回车

图片[24]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里需要选择要安装的开源程序,默认全部安装,回车

图片[25]-网络入侵检测开源项目 Security Onion-FancyPig's blog

是否使用默认的IP范围,选择是,回车

图片[26]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后创建web管理员账户,按需创建

图片[27]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后输入密码

图片[28]-网络入侵检测开源项目 Security Onion-FancyPig's blog

重复输入密码确认后,继续回车

图片[29]-网络入侵检测开源项目 Security Onion-FancyPig's blog

根据自己网段进行输入

图片[30]-网络入侵检测开源项目 Security Onion-FancyPig's blog

继续回车

图片[31]-网络入侵检测开源项目 Security Onion-FancyPig's blog

程序进入自动升级状态

图片[32]-网络入侵检测开源项目 Security Onion-FancyPig's blog

需要一定的时间

图片[33]-网络入侵检测开源项目 Security Onion-FancyPig's blog

防火墙开放端口

我们需要使用下面的命令

so-allow
图片[34]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后就好了

图片[35]-网络入侵检测开源项目 Security Onion-FancyPig's blog
图片[36]-网络入侵检测开源项目 Security Onion-FancyPig's blog

常见问题

安装相关问题

如果安装中出现了报错,应该如何排查?

我们可以通过下面命令进行查看

sudo so-status
图片[37]-网络入侵检测开源项目 Security Onion-FancyPig's blog

这里发现了很多标红的,我们逐个进行启动即可,这里举个例子,比方说我们要启动mysql

sudo so-mysql-start

你如果不确认命令,可以输入so-mysql然后按tab自动补齐,如果启动出现了问题会有提示的,我们这里是端口被占用了,因此我们需要去kill掉3306端口的进程,这里解释下,因为我之前服务器装了宝塔面板,因此这里mysql可能会出现冲突!

图片[38]-网络入侵检测开源项目 Security Onion-FancyPig's blog

playbook一直是error,打开页面404?

如果出现这个问题,你可以先尝试重启playbook

so-playbook-restart
图片[39]-网络入侵检测开源项目 Security Onion-FancyPig's blog

我们这里发现是数据表导入出现了问题,这里需要先停止salt服务

so-salt-stop

然后导入数据表

salt-call state.apply playbook.db_init

之后启动salt

so-salt-start

启动playbook

so-playbook-start

这里发现刚才报错的表正常了

图片[40]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后我们可以查看整个的运行状况

so-status

这里可以看到完全正常了

图片[41]-网络入侵检测开源项目 Security Onion-FancyPig's blog

使用相关问题

如果我想导入pcap进行分析应该如何操作?

我们可以使用下面的命令进行导入

so-pcap-import [pcap]
图片[42]-网络入侵检测开源项目 Security Onion-FancyPig's blog

系统会使用Suricata、Zeek开源规则进行分析,最后生成一个狩猎的页面,我们可以复制到浏览器里进行查看

图片[43]-网络入侵检测开源项目 Security Onion-FancyPig's blog
图片[44]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如果想查看告警则需要在Alerts里,调整好时间

图片[45]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后每一条告警就可以看到了

图片[46]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如果想详细看某个告警的信息,可以点击Drilldown

图片[47]-网络入侵检测开源项目 Security Onion-FancyPig's blog
图片[48]-网络入侵检测开源项目 Security Onion-FancyPig's blog

如何查看威胁狩猎中的详细pcap包?

在老版本2.0中我们可以看到是左侧有一个很明显的pcap标志

图片[49]-网络入侵检测开源项目 Security Onion-FancyPig's blog

最新版本需要手动左键Actions>Pcap

图片[50]-网络入侵检测开源项目 Security Onion-FancyPig's blog

然后就会自动跳转到Pcap的页面

图片[51]-网络入侵检测开源项目 Security Onion-FancyPig's blog

部分平台如playbook不能使用我们一开始创建的账户登录

你可能会遇到部分平台无法使用我们自定义的账户登录的情况,这时我们可以使用下面的命令去查看默认密码

sudo salt-call pillar.get secrets

譬如,这里我们就可以看到playbook的admin账户的密码

图片[52]-网络入侵检测开源项目 Security Onion-FancyPig's blog
© 版权声明
THE END
喜欢就支持一下吧
点赞17赞赏 分享
评论 共4条

请登录后发表评论