家庭网络防御系统搭建-siem之security onion 安装配置过程详解

本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。

充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如suricata,zeek,蜜罐)以及终端侧的告警(sysmon,elastic)的等告警,同时针对安全业务集成了很多安全相关实用的功能,包括威胁狩猎功能,attack矩阵的集成,以及case的管理功能。这样就省去了新手大量的集成和配置工作,当然对用户灵活性要求比较高的同学,可以从elastic以及splunk等原生的数据处理平台一点点集成。

SO下载

建议下载最新版本,我安装时最新的版本为security onion2.4.60,这里。由于技术的迭代,主要之前的2.3版本是基于centos系统,而centos已经停止维护,因此之前的security onion老版本已经停止维护,新版本是基于oracle Linux 9.3版本,如下图:

软件安装

由于security onion本质上是一个linux系统,因此可以安装在虚拟机上,也可以直接安装在主机上。新手比较建议安装在独立的机器上,可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本,该版本能够满足家庭网络的绝大多数的需求,在VM虚拟机配置这块,需要分配100G以上的内存,CPU为4核,8G以上的内存,这点配置需要注意。在虚拟机上安装,中间遇到任何问题,可以关机,重新开始。

如下是security onion各种类型的的最低配置要求:

我安装的standalone版本的配置如下,最重要的是需要两张网卡,如下:

默认会选择安装第一项,即2.4.60的生产版本。然后进入如下安装界面,yes继续之后,输入用户名和密码,这边的用户名和密码可以按需设置,对于等级要求比较高的,建议使用随机的密码。

接下来会进入一段自动化的安装配置流程,主要是安装linux系统相关以及软件本身以来的环境内容,所以这块需要等待大概10分钟左右,如下:

然后按enter键重新启动之后进入security onion 上层软件相关的配置部分,如下:

关于不同类型的区别,见这里,初学者建议使用standalone版本。


主机名建议设置一个有意义的名称,因为如果有防火墙等管理系统,这样可以通过主机名进行识别。

选择对应的网卡,作为SOC管理端(webUI访问地址)连接的网卡:

这个时候可以配置静态的IP地址,也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户,建议使用DHCP动态分配IP地址,因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的,如下如图。对于新手来说,使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题,例如安装期间会访问互联网。等到安装成功之后,在更改对应的IP为静态IP地址,每次可以很方便通过SSH登录进行查看。

没有配置代理,使用默认即可,如下:

由于securityonion安装了很多的docker服务,这块docker的IP使用默认即可

空格选中对应的网卡作为监控接口,因为Security onion具备监控流量的功能,选择该网卡作为流量监控之用,然后继续

因为security onion会需要以邮件形式发送一些告警报告的通知,输入邮箱继续:

由于web界面使用的是邮箱登录,因此为邮箱账户设置对应的密码

使用默认IP访问web页面即可,更具后面的经验,其实使用hostname更加的方便。

允许通过web安装更新

那些IP可以访问security onion,我这里设置的是0.0.0.0/0,表示所有的IP均可以访问,在实际生产环境中可能需要进行限制。

检查一下配置如下:

进入一段漫长的安装等待,大约一个小时,期间会访问网络下载文件,因此前面设置成为DHCP很重要,基本不用担心网络联通的问题。最后成功安装的截图如下:

如果安装过程提示有错误,到/root/errors.log查看原因,例如我是yara组件没有下载成功,有可能是网络原因,因此重新执行该命令即可。

SO web 界面

安装成功之后,访问web页面如下:

检查所有的服务是否运行正常,如下:

以上就是security onion安装的过程,后续将介绍security onion和其他sensor日志的集成。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里

相关推荐
网络研究院1 个月前
向潜在安全信息和事件管理 SIEM 提供商提出的六个问题
安全·工具·管理·siem·事件·观点·信息
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺5 个月前
开源安全态势感知平台Security Onion
linux·运维·安全·security·态势感知·securityonion
ManageEngine卓豪5 个月前
AWS 云安全性:检测 SSH 暴力攻击
ssh·aws·云安全·siem
ManageEngine卓豪5 个月前
零信任网络安全
网络安全·零信任·siem
ManageEngine卓豪7 个月前
什么是SIEM
网络安全·安全威胁分析·siem·事件管理
村中少年8 个月前
家庭网络防御系统搭建-虚拟机安装siem/securityonion网络连接问题汇总
vmware·虚拟机·防火墙·nat·端口映射·security onion·主机映射
ManageEngine卓豪1 年前
利用网络威胁情报增强网络安全态势
网络安全·siem·威胁情报
ManageEngine卓豪1 年前
什么是安全信息和事件管理(SIEM),有什么用处
siem·安全信息管理·安全事件管理
ManageEngine卓豪1 年前
日志收集的方式和优点
网络安全·siem·日志分析·日志收集·日志管理