Security Onion — бесплатный Linux секьюрити дистрибутив для мониторинга сети и обнаружения вторжений. В статье покажу различные способы установки Security Onion.
Еще по теме: Форензик кейс взлома сервера Linux
Что такое Security Onion
Основные возможности Security Onion:
- Основан на Ubuntu.
- Содержит множество предустановленных инструментов для анализа безопасности, таких как Snort, Suricata, Bro, Metasploit, Sguil, Xplico, Snorby, Squert, Nmap, Scapy, Hping, Netcat и другие.
- Позволяет собирать и анализировать сетевой трафик, логи, пакеты для выявления вторжений, аномалий и угроз.
- Имеет веб-интерфейс для просмотра и поиска событий безопасности, генерируемых различными инструментами.
- Поддерживает распределенный сбор логов и трафика с использованием сенсоров Security Onion.
- Может отправлять события и оповещения в SIEM системы.
- Позволяет анализировать трафик Tor и выявлять скрытые угрозы.
- Имеет инструменты для анализа PCAP файлов, временных последовательностей пакетов, расшифровки SSL и многое другое.
Установка Security Onion
Вы можете установить Security Onion с использованием образа ISO (основанного на CentOS 7), или установить стандартные версии CentOS 7 или Ubuntu 20.04, а затем установить Security Onion поверх них.
Если вы не собираетесь использовать образ ISO Security Onion, и планируете создать распределенную конфигурацию, рекомендуем сохранить базовую ОС (CentOS 7 или Ubuntu 20.04) одинаковой для всех узлов конфигурации.
Установка с использованием образа ISO Security Onion
Если вы хотите установить Security Onion, используя образ ISO:
Шаг 1: Перейдите на официальный сайт Security Onion и скачайте последнюю версию образа ISO, соответствующую вашей архитектуре (обычно amd64 или x86_64).
Шаг 2: После загрузки образа ISO, создайте загрузочное устройство. Если вы планируете установить Security Onion на физический компьютер, используйте DVD или создайте загрузочную USB-флешку с помощью программы, такой как Rufus (для Windows) или dd (для Linux и macOS).
Шаг 3: Вставьте загрузочное устройство в компьютер и загрузитесь с него. Возможно, вам придется изменить порядок загрузки в BIOS, чтобы загрузиться с установленной ОС.
Шаг 4: При загрузке выберите опцию установки Security Onion. Следуйте инструкциям установщика, которые включают выбор языка, часового пояса, разбиение диска и настройку пользовательских учетных записей.
Шаг 5: В процессе установки будет предложено указать пароль для учетной записи root (суперпользователя) и создать учетную запись пользователя.
Шаг 6: Войдите в систему, используя имя пользователя и пароль, которые вы установили в процессе установки.
Шаг 7: Настройка Security Onion автоматически запустится. Если по какой-либо причине вы должны выйти из настройки и затем повторно запустить ее, вы можете выйти из учетной записи и затем снова войти, и она автоматически запустится. Если это не работает, вы можете запустить ее вручную:
1 |
sudo SecurityOnion/setup/so-setup iso |
Шаг 8: Перейдите в раздел Configuration.
Установка на Ubuntu или CentOS
Если вы хотите установить Security Onion на CentOS 7 или Ubuntu 20.04 (без использования образа ISO Security Onion), следуйте этим шагам:
Шаг 1: Загрузите образ ISO для предпочитаемого вами 64-разрядного варианта CentOS 7 или Ubuntu 20.04. Проверьте образ ISO, а затем загрузитесь с него.
Шаг 2: Следуйте подсказкам установщика. Если вы создаете производственную конфигурацию, вероятно, захотите использовать LVM и выделить большую часть дискового пространства для /nsm, как обсуждалось в разделе «Partitioning».
Шаг 3: Перезагрузитесь во вновь установленную систему.
Шаг 4: Войдите в систему, используя имя пользователя и пароль, которые вы указали при установке.
Шаг 5: Установите необходимые зависимости.
Если используете CentOS 7:
1 |
sudo yum -y install git |
Если используете Ubuntu 20.04:
1 |
sudo apt -y install git curl ethtool |
Шаг 6: Установите репозиторий и запустите процесс настройки:
1 2 3 |
git clone https://github.com/Security-Onion-Solutions/securityonion cd securityonion sudo bash so-setup-network |
Шаг 7: Перейдите в раздел Configuration.
Если какие-либо интерфейсы, предполагаемые для мониторинга, были автоматически настроены через DHCP во время установки Ubuntu, настройка попросит удалить их из других инструментов управления сетью. Чтобы убедиться, что устройства управляются с помощью nmcli, выполните следующие шаги:
Удалите объявления интерфейсов мониторинга из /etc/netplan/00-installer-config.yaml и затем выполните:
1 2 3 |
sudo netplan apply sudo touch /etc/NetworkManager/conf.d/10-globally-managed-devices.conf sudo service network-manager restart |
Затем повторите настройку.
Заключение
Security Onion — отличный инструментов для мониторинга сети, анализа трафика, выявления вторжений и исследования инцидентов. Это отличное бесплатное решение для построения систем обнаружения и реагирования на киберугрозы.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Использование правил Sigma в Timesketch
- Лучшие инструменты аудита безопасности Linux
- Использование Lynis для проверки защищенности Linux