本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。
充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如suricata,zeek,蜜罐)以及终端侧的告警(sysmon,elastic)的等告警,同时针对安全业务集成了很多安全相关实用的功能,包括威胁狩猎功能,attack矩阵的集成,以及case的管理功能。这样就省去了新手大量的集成和配置工作,当然对用户灵活性要求比较高的同学,可以从elastic以及splunk等原生的数据处理平台一点点集成。
SO下载
建议下载最新版本,我安装时最新的版本为security onion2.4.60,这里。由于技术的迭代,主要之前的2.3版本是基于centos系统,而centos已经停止维护,因此之前的security onion老版本已经停止维护,新版本是基于oracle Linux 9.3版本,如下图:
软件安装
由于security onion本质上是一个linux系统,因此可以安装在虚拟机上,也可以直接安装在主机上。新手比较建议安装在独立的机器上,可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本,该版本能够满足家庭网络的绝大多数的需求,在VM虚拟机配置这块,需要分配100G以上的内存,CPU为4核,8G以上的内存,这点配置需要注意。在虚拟机上安装,中间遇到任何问题,可以关机,重新开始。
如下是security onion各种类型的的最低配置要求:
我安装的standalone版本的配置如下,最重要的是需要两张网卡,如下:
默认会选择安装第一项,即2.4.60的生产版本。然后进入如下安装界面,yes继续之后,输入用户名和密码,这边的用户名和密码可以按需设置,对于等级要求比较高的,建议使用随机的密码。
接下来会进入一段自动化的安装配置流程,主要是安装linux系统相关以及软件本身以来的环境内容,所以这块需要等待大概10分钟左右,如下:
然后按enter键重新启动之后进入security onion 上层软件相关的配置部分,如下:
关于不同类型的区别,见这里,初学者建议使用standalone版本。
主机名建议设置一个有意义的名称,因为如果有防火墙等管理系统,这样可以通过主机名进行识别。
选择对应的网卡,作为SOC管理端(webUI访问地址)连接的网卡:
这个时候可以配置静态的IP地址,也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户,建议使用DHCP动态分配IP地址,因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的,如下如图。对于新手来说,使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题,例如安装期间会访问互联网。等到安装成功之后,在更改对应的IP为静态IP地址,每次可以很方便通过SSH登录进行查看。
没有配置代理,使用默认即可,如下:
由于securityonion安装了很多的docker服务,这块docker的IP使用默认即可
空格选中对应的网卡作为监控接口,因为Security onion具备监控流量的功能,选择该网卡作为流量监控之用,然后继续
因为security onion会需要以邮件形式发送一些告警报告的通知,输入邮箱继续:
由于web界面使用的是邮箱登录,因此为邮箱账户设置对应的密码
使用默认IP访问web页面即可,更具后面的经验,其实使用hostname更加的方便。
允许通过web安装更新
那些IP可以访问security onion,我这里设置的是0.0.0.0/0,表示所有的IP均可以访问,在实际生产环境中可能需要进行限制。
检查一下配置如下:
进入一段漫长的安装等待,大约一个小时,期间会访问网络下载文件,因此前面设置成为DHCP很重要,基本不用担心网络联通的问题。最后成功安装的截图如下:
如果安装过程提示有错误,到/root/errors.log查看原因,例如我是yara组件没有下载成功,有可能是网络原因,因此重新执行该命令即可。
SO web 界面
安装成功之后,访问web页面如下:
检查所有的服务是否运行正常,如下:
以上就是security onion安装的过程,后续将介绍security onion和其他sensor日志的集成。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。