开源安全态势感知平台Security Onion

news2024/12/26 22:24:18

简介

Security Onion是一款由安全防御人员为安全防御人员构建的免费开放平台。它包括网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理等功能。详细信息可以查看官网Security Onion Solutions

在网络可见性方面,Security Onion提供了基于签名的检测(通过Suricata)、使用Zeek或Suricata进行的丰富协议元数据和文件提取、使用Stenographer或Suricata进行的全包捕获,以及文件分析。

在主机可见性方面,它提供了Elastic Agent,该工具可实现数据收集、通过osquery进行的实时查询,以及使用Elastic Fleet进行的集中管理。此外,还可以将基于OpenCanary的入侵检测蜜罐添加到部署中,以获得更多企业级可见性。

部署架构

部署Security Onion,首先你需要决定你想要哪种类型的部署。可以是个人笔记本电脑上的小型虚拟机中临时导入安装,也可以是由管理节点、多个搜索节点和大量转发节点组成的大型可扩展企业部署的安装方式。

import

最简单的架构。import是一个独立的盒子,它仅运行足够的组件以便能够通过Grid页面导入pcap或evtx文件。它不支持添加Elastic代理或其他Security Onion节点。

Evaluation

evaluation评估架构,它比import架构稍微复杂一些,因为它有一个网络接口专门用于从TAP或SPAN端口嗅探实时流量。进程会监控该嗅探接口上的流量并生成日志。Elastic Agent收集这些日志并直接发送到Elasticsearch,在那里它们被解析并索引。评估模式旨在快速安装,以便临时测试Security Onion。它完全不适用于生产环境,也不支持添加Elastic代理或其他Security Onion节点。

Standalone

standalone独立架构与evaluation评估架构类似,所有组件都运行在同一个盒子上。然而,与Elastic Agent直接将日志发送到Elasticsearch不同,在独立架构中,Elastic Agent将日志发送到Logstash,Logstash再将日志发送到Redis进行排队。第二个Logstash管道从Redis中提取日志,并将它们发送到Elasticsearch,在那里日志被解析并索引。

这种部署类型通常用于测试、实验室、概念验证(POCs)或吞吐量非常低的环境。与分布式部署相比,它的可扩展性较差。

Desktop

desktop安装程序包括一个Security Onion桌面选项,用于构建一个简单的桌面环境。这个环境包括一个网页浏览器,允许您登录到现有的Security Onion部署。此外,它还包含一些分析实用工具,如Wireshark和NetworkMiner。

Distributed

标准的分布式部署包括一个管理节点、一个或多个运行网络传感器组件的前端节点,以及一个或多个运行Elastic搜索组件的搜索节点。这种架构可能在前期成本较高,但它提供了更高的可扩展性和性能,因为您可以简单地添加更多节点来处理更多的流量或日志源。

如果安装了专用的管理节点,则还必须部署一个或多个搜索节点。否则,所有日志都将在管理节点上排队,而没有存储的地方。如果在可部署的节点数量上有限制,可以安装一个管理搜索节点,以便管理节点可以作为搜索节点并存储这些日志。但是,请注意,与管理节点和单独的搜索节点组成的推荐架构相比,管理搜索节点的整体性能和可扩展性将较低。

安装security onion

可以通过官网下载对应的系统镜像,然后根据自己的需求安装在虚拟机上或者物理服务器上。我这里先安装在虚拟机上,后期会直接安装在物理服务器上。

直接俄选择安装
输入yes,然后继续输入用户名密码继续进行下一步,等待安装完成,并重启
安装完成重启,登录后继续初始化安装
标准安装

 

选择安装模式,我这里选择standalone
输入AGREE,然后继续
我们这里提供联网模式
设置主机名
描述信息

 

设置管理接口,最少需要两个接口,一个是管理接口,一个是接收流量的接口
管理接口IP地址,我这里先设置dhcp,也可以设置静态ip地址,一般是设置静态IP地址

设置联网方式,这里可以根据自己的需求进行选择
是否修改dockers的ip网段,我这里不修改
选择监控流量的接口
设置邮箱地址和密码,这个将用于后面web登录的账号
设置连接的方式是通过IP地址

 

设置web登录接口允许的连接网段

确认信息后初始化安装
通过前面的邮箱账号和密码登录
此时已经成功进入

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1942240.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【系统架构设计 每日一问】二 MySql主从复制延迟可能是什么原因,怎么解决

主从复制的架构设计如下图所示: 同步原理 具体到数据库之间是通过binlog和复制线程操作的: Master的更新事件(update、insert、delete)会按照顺序写入bin-log中。当Slave连接到Master的后,Master机器会为Slave开启,binlog dump线程,该线程…

go关于string与[]byte再学深一点

目标:充分理解string与[]bytes零拷贝转换的实现 先回顾下string与[]byte的基本知识 1. string与[]byte的数据结构 reflect包中关于字符串的数据结构 // StringHeader is the runtime representation of a string.type StringHeader struct {Data uintptrLen int} …

浅谈断言之XML断言

浅谈断言之XML断言 XML断言是JMeter的一个组件,用于验证请求的响应数据是否符合XML结构。这对于测试返回XML格式数据的Web服务特别有用。 如何添加XML断言? 要在JMeter测试计划中添加XML断言,遵循以下步骤: 打开测试计划&…

JCR一区级 | Matlab实现CPO-Transformer-LSTM多变量回归预测【2024新算法】

JCR一区级 | Matlab实现CPO-Transformer-LSTM多变量回归预测【2024新算法】 目录 JCR一区级 | Matlab实现CPO-Transformer-LSTM多变量回归预测【2024新算法】效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.【JCR一区级】Matlab实现CPO-Transformer-LSTM多变量回归预测…

基于STM32F103的FreeRTOS系列(二)·多任务系统

基于STM32F103的FreeRTOS系列(一)单片机设计模式介绍裸机程序的设计模式-CSDN博客 目录 1. 多任务模式 2. 互斥操作 3. 同步操作 1. 多任务模式 对于裸机程序,无论使用哪种模式进行精心的设计,在最差的情况下都无法解决这个…

12. Hibernate 模板设计模式

1. 前言 本节课和大家一起使用模板设计模式重构 Hibernate 操作流程,通过本节课程内容,你将了解到: 如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口; 2. 模板设计模式 学习 Hibernate 的过程…

服务器上使用Docker部署sonarQube,并集成到Jenkins实现自动化。

目标是要在目标服务器上使用docker工具部署好sonar环境,然后再集成到Jenkins中实现自动化的代码审查工作。 Docker 首先Dokcer的源大部分现在都用不了,于是我上网查询,终于找到了一个可用的镜像。 编辑/etc/docker/daemon.json文件&#x…

71.PLC Settings for OPCSERVER(KEPWare)- SAP ME实施

目录 0.目的 1.三菱PLCMitsubishi Ethernet 1.1 型号FX-3U的配置 选择Operational settings 按下图设置通讯参数 选择Open settings 按下图设置通讯端口 选择Router ralay parameter 按下图设置网关 1.2型号Q Series 按下图设置IP、网关 按下图设置端口…

WebGoC题解(13) 狐猬编程:GoC L4 结业测试 第4题 找木柴

题目描述 小明今天找了n跟木柴,但是木柴太多了,小明只能拿走m根木柴,小明希望拿走的木柴都是剩下的木柴中最长的,小明还画出以下图形 例如 输入 5 3 10 20 30 40 50 小明要拿走30 40 50 这3根木柴 从大到小画出以下图形 矩形的宽…

AWS监控工具,监控性能指标

执行AWS监视是为了跟踪在AWS环境中主动运行的应用程序工作负载和资源,AWS监视器跟踪各种AWS云指标,以帮助提高在其上运行的应用程序的整体性能。 借助阈值突破警报系统,AWS应用程序监控在识别性能瓶颈来源方面起着至关重要的作用&#xff0c…

46 AP-AC实战图示

一 流程 一 无线上WEB页面 1 创建vlan 56 [AC-KongZhi]vlan 56 2 退出 [AC-KongZhi-vlan56]quit 3 进入vlan三层口 配置IP地址 [AC-KongZhi]interface Vlan-interface 56 [AC-KongZhi-Vlan-interface56]ip address 192.168.56.55 24 4 在AC控制器与Host主机的接口上能通关vl…

Adobe国际认证详解-动漫制作专业就业方向和前景

动漫制作专业的就业方向和前景随着创意产业的蓬勃发展而愈发广阔。这一专业涵盖了从角色设计、场景绘制到动画制作、特效合成等多个环节,是创意与技术相结合的典型代表。随着数字媒体和互联网的普及,动漫制作专业人才的需求正不断增长,为该专…

Chrome v8 pwn 前置

文章目录 参考用到啥再更新啥简介环境搭建depot_tools和ninjaturbolizer 调试turbolizer使用结构数组 ArrayArrayBufferDataViewWASMJSObject结构Hidden Class命名属性-快速属性Fast Properties命名属性-慢速属性Slow Properties 或 字典模式Dictionary Mode编号属性 (Elements…

redis的使用场景和持久化方式

redis的使用场景 热点数据的缓存。热点:频繁读取的数据。限时任务的操作:短信验证码。完成session共享的问题完成分布式锁。 redis的持久化方式 什么是持久化:把内存中的数据存储到磁盘的过程,同时也可以把磁盘中的数据加载到内存…

Ubuntu 24.04 LTS Noble安装 FileZilla Server

FileZilla Server 是一款使用图形用户界面快速创建 FTP 服务器的软件。它有助于测试需要 FTP 服务器功能的各种项目。虽然早期的 FileZilla FTP 服务器仅适用于 Windows 和 macOS,但现在我们也可以在 Linux(例如 Ubuntu 24.04)上安装 FileZil…

C++ | Leetcode C++题解之第274题H指数

题目&#xff1a; 题解&#xff1a; class Solution { public:int hIndex(vector<int>& citations) {int left0,rightcitations.size();int mid0,cnt0;while(left<right){// 1 防止死循环mid(leftright1)>>1;cnt0;for(int i0;i<citations.size();i){if(…

英伟达、Mistral AI 开源企业级大模型,120亿参数、可商用

全球AI领导者英伟达&#xff08;Nvidia&#xff09;和著名开源大模型平台Mistral.ai联合开源了&#xff0c;企业级大模型Mistral NeMo 12B。&#xff08;以下简称“MN 12B”&#xff09; 据悉&#xff0c;MN 12B一共有基础和指令微调两种模型&#xff0c;支持128K上下文长度&a…

vue3.0学习笔记(二)——生命周期与响应式数据(ref,reactive,toRef,toRefs函数)

1. 组合API-setup函数 使用细节&#xff1a; setup 是一个新的组件选项&#xff0c;作为组件中使用组合API的起点。从组件生命周期来看&#xff0c;它的执行在组件实例创建之前vue2.x的beforeCreate执行。这就意味着在setup函数中 this 还不是组件实例&#xff0c;this 此时是…

Linux、Windows和macOS上使用Telnet

文章目录 LinuxWindowsmacOS 在Linux、Windows和macOS上使用Telnet时&#xff0c;不同的系统有不同的工具和设置方法。以下是在这些系统上使用Telnet的简要说明&#xff1a; Linux 在Linux上&#xff0c;Telnet通常是通过telnet命令来使用的。首先&#xff0c;你需要确保你的系…

【等保测评】服务器——Windows server 2012 R2

文章目录 **身份鉴别****访问控制****安全审计****入侵防范****恶意代码防范****可信验证****测评常用命令** Windows服务器安全计算环境测评 测评对象&#xff1a;Windows server 2012 R2 身份鉴别 &#xff08;高风险&#xff09;应对登录的用户进行身份标识和鉴别&#x…