博客

Security Onion Solutions 2.3.10部署指南

  • Post author:
  • Post category:其他


(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验)

1.部署准备


1.1 什么是Security Onion Solution

Security Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,Cyber​​Chef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。

Security Onion始于2008年(和OSSIM的起源几乎相同),最初基于Ubuntu Linux发行版,直到Security Onion的最后一个主要版本基于Ubuntu 16.04,因此它被称为Security Onion 16.04。

目前讲述的SOS 2.3.1安全洋葱解决方案是在CentOS Linux下基于容器开发的,这一新平台命名为Security Onion 2,截至目前的最新发行版是v 2.3.10。

以下是Security Onion 2与旧版系统(v 16.04)的差异:

  • 从Ubuntu软件包移至Docker容器;
  • 支持CentOS Linux 7;
  • 将pcap收集工具从netsniff-ng更改为Google Stenographer(一种新型抓包方案,可快速将网络包保存到硬盘)
  • 升级到Elastic Stack 7.x并支持Elastic Common Schema(ECS);
  • 将内核模块PF_RING替换为AF_PACKET;
  • Suricata完全取代了Snort。
  • 删除了Sguil,Squit和capME(这几款软件还是相当实用的,取消有些可惜)
  • 增加了存储节点现在称为搜索节点;
  • 整合了新技术:TheHive,Strelka,支持Sigma规则,Grafana (主机的健康监控和报警),Fleet(用于osquery管理),Playbook(检测Playbook的工具),Onion Hunt,Security Onion Console 。


1.2 如何下载:

SOS 是一个值得尝试的系统,大家可以一边下载这个大型ISO文件,一边阅读下列相关知识点。

下载2.3.10 ISO image

(约6.84GB)

的网址


https://download.securityonion.net/file/securityonion/securityonion-2.3.10.iso

MD5: 55E10BAE3D90DF47CA4D5DCCDCB67A96

SHA1: 01361123F35CEACE077803BC8074594D57EE653A

SHA256: 772EA4EFFFF12F026593F5D1CC93DB538CC17B9BA5F60308F1976B6ED7032A8D


1.3 Security Onion的核心功能

Security Onion的最大特点就是虽然集成度很高、但用户安装界面却非常简单,另一个特点就是新,我相信很多开源软件大家都并不熟悉,由于它是基于Centos Linux开发所有安全组件都经过特殊设置,而且跟操作系统完美结合,所以即使是“门外汉”部署这套系统照样能够上手。

Security Onion提供的3个大核心功能:

1)全包捕获:全包捕获通过Stenographer来实现,它会捕获Security Onion传感器的所有网络流量。就像一部网络摄像机一样,捕获网络数据包。

2)网络和端点检测:分析网络流量或主机系统,并为检测到的事件和活动提供日志和警报数据。

3)强大的分析工具:SOS紧密集成了下列工具:

  • 安全洋葱控制台(SOC)可以查看所有的NIDS和HIDS警报,从功能上看这和安全运营中心SOC差的还很远,不过很吸引眼球不是嘛。
  • The Hive,可以发现很多事件报警和日志。
  • Kibana:使我们能够通过“单一窗格”快速分析和分析由Security Onion生成的所有不同数据类型。
  • Cyber​​Chef:允许您解码,解压缩和分析数据包。
  • Playbook:用来创建检测剧本,这些剧本是完全独立的,描述了特定检测策略的不同方面。


1.4 开源版SOS的架构

SOS不但包含了Elastic Stack( 一套完整的大数据处理系统,从日志输入、转换到存储分析、可视化),而且还添加了下列内容(这四个组件在Security Onion中作为Docker容器运行):

  • Curator:主要用来帮助管理Elasticsearch索引和快照。
  • Domaintats:用途不详
  • ElastAlert:用于查询ElasticSearch,并提供具有多种输出类型的警报机制,例如Slack,Email,JIRA,OpsGenie等。
  • FreqServer :用于分析哪些被频繁访问的字段,并给出访问次数排名。

图中EVAL表示测试评估版

下面的实验中采用独立安装方式,此方式由运行服务器和传感器组件以及相关进程的单个虚拟机组成,最适合初学者入门。


1.5 关于Docker

由于 SO 2.3.1 采用的是 Docker CE v19.0.3容器,Docker CE (Docker Community Edition 社区版,与之对应的是EE,企业版)是免费的Docker产品的新名称,Docker CE包含了完整的Docker平台,非常适合开发人员和运维团队构建容器APP。大家在使用SO 2.3.1时会涉及到很多ELK和Docker的知识点。

2、系统安装

SOS适合VirtualBOX、和Vmware workstation下安装。


2.1 安装必要条件:

  • CPU: 4 +Core

  • Disk:100+GB (由于系统中多个Docker应用的瓶颈会暴露在I/O上,强烈推荐使用SSD)

  • RAM:12+GB (12G是满足安装的最基本条件,要运行顺畅至少16GB内存,推荐32GB)

  • 网络适配器:2 NIC


2.2 通过ISO在虚拟机中安装

下面虚拟机草原最新版VirtualBOX,新建虚拟机的参数配置满足上面的必要条件,下面开始正式安装,首先选择基于图形模式安装系统。

安装警告:这里输入管理员名称admin(有别于root用户),并输入密码。回车后开始安装基本系统, 十分钟后,一个基本系统安装完成。漫长的过程还在后面。

通过输入“Alt+Tab”组合键,可以在4种模式下转换:


  • 主安装界面

  • Shell

  • LOG

  • Storage-lo

系统安装完成后,自动重启。

登录系统,登录用户输入刚才输入的名称,admin,以及密码。

点击Yes

选择”EVAL” (测试评估版)。

选择standard,标准安装。

选择自动更新

输入主机名称

在Updating packages环节,并不是从网络安装系统(网络收、发包几乎为0)。

配置静态IP地址

输入IP、子网掩码、网关、DNS等配置参数。

设置嗅探接口,以及嗅探的网段CIDR号

选择安装组件

该步安装配置时间大约1小时。

输入电子邮箱地址作为登录用户名。

设置IP地址来访问SO的WebUI接口

下面的过程会继续安装组件:

  • 生成CA中心
  • 从iso中拷贝 containers
  • 应用idstools salt state
  • 应用elasticsearch salt stae
  • 应用pcap salt state
  • 应用zeek Salt state
  • 应用curator salt state
  • 应用soc salt state
  • 应用kibana salt state
  • 应用 utility salt state
  • 验证安装

安装完成之后可以登录系统啦

在浏览器地址栏输入IP,接着显示登录界面,输入刚才输入的电子邮件地址和口令来登录系统。

注:

系统安装配置完成后,虚拟机文件夹容量约为22GB。如果你的磁盘空间小于30GB,会导致配置过程意外终止,整个安装前功尽弃!

关键元素 SOC 报警控制台

安全洋葱控制台(SOC)使您可以访问我们的新警报界面。该界面为您概述了Security Onion生成的警报。图中,启用Acknowledged切换功能仅会显示先前已被分析师确认的警报。

启用该Escalated切换将仅显示以前由分析人员升级为TheHive的警报状态栏

看到下面界面,是不是感觉似曾相识?怎么应用?我们下回分解。

在命令行下,我们通过输入下面的命令来了解容器和镜像的情况

$sudo docker ps

$sudo docker images

下文将会为大家分析SOS中的Docker容器有何用途,尽情期待!

https://zhuanlan.zhihu.com/p/302350720