Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程

已于 2023-12-15 09:43:11 修改
阅读量4.8k 收藏 18
点赞数 4
文章标签: 开源 linux 网络安全 nginx
于 2023-04-12 09:22:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DevonL/article/details/130017437
版权

Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。

易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队
Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等

一、准备服务器环境,当前环境:

1.Centos7.9 32G 8C 300G 两块网卡
2.准备docker镜像加速工具,执行安装拉取镜像不加速会失败,开启加速工具后需要将主机名、127.0.0.1、localhost,排除在外不然会导致无法写入es容器数据,导致容器启动失败。

二、开始安装,首先配置加速器

1.开启加速器,我这里使用的是如下工具,其他需要各位自己解决,进入加速器目录,配置好config.json文件,启动docker镜像加速器。

2.查看加速器端口,配置本地加速环境变量,私网地址和本机主机名无需加速

[root@220-220 v2ray]# netstat -lntup
tcp        0      0 127.0.0.1:10808         0.0.0.0:*               LISTEN      4426/
tcp        0      0 127.0.0.1:10809         0.0.0.0:*               LISTEN      4426/
[root@220-220 v2ray]# vim /etc/profile
 79 no_proxy_192=$(echo 192.168.220.{1..255}|sed 's/ /,/g') #不加速的地址,必须包括本地地址,根据自己要求修改
 80 export no_proxy="220-220,${no_proxy_192}" #不加速生效,包括220-220主机名和以上私网地址
 81 export https_proxy=127.0.0.1:10809 #https通过本地10809加速
 82 export http_proxy=127.0.0.1:10809  #https通过本地10809加速

3.git拉取项目

[root@220-220 ~]# git clone https://github.com/Security-Onion-Solutions/securityonion

4.安装security onion

[root@220-220 v2ray]# cd /root/securityonion/
[root@220-220 securityonion]# ./so-setup-network

yes确认选择YES
在这里插入图片描述选择EVAL
在这里插入图片描述填写AGREE
在这里插入图片描述填写主机名
在这里插入图片描述选择YES
在这里插入图片描述选择Ok
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
选择流量镜像接口网卡,Ok

在这里插入图片描述
选择自动更新
在这里插入图片描述
写入地址
在这里插入图片描述
选择安装的插件
在这里插入图片描述
Docker 容器ip保持默认
在这里插入图片描述填写管理员邮箱地址

在这里插入图片描述输入两次管理员密码

在这里插入图片描述
使用IP地访问WEB页面
在这里插入图片描述
选择YES
在这里插入图片描述
填写需要访问的地址0.0.0.0/0为所有地址可以访问
在这里插入图片描述
确认填写的信息
在这里插入图片描述
等待安装

[root@220-220 ~]# tailf sosetup.log  #查看安装日志

在这里插入图片描述

[root@220-220 ~]# while sleep 3; do docker images | grep ghcr.io | wc -l;done
5 #查看当前已经pull多少镜像
[root@220-220 ~]# docker images| grep -v 220-220 | wc -l	#共需要下载32个镜像
32
[root@220-220 ~]# docker ps |grep -v ID |wc -l   #共启动30个容器
30
[root@220-224 ~]# so-allow  #开放端口

Choose the role for the IP or Range you would like to allow

[a] - Analyst - 80/tcp, 443/tcp
[b] - Logstash Beat - 5044/tcp
[e] - Elasticsearch REST API - 9200/tcp
[f] - Strelka frontend - 57314/tcp
[o] - Osquery endpoint - 8090/tcp
[s] - Syslog device - 514/tcp/udp
[w] - Wazuh agent - 1514/tcp/udp
[p] - Wazuh API - 55000/tcp
[r] - Wazuh registration service - 1515/tcp

Please enter your selection: a      #a 80/443端口
Enter a single ip address or range to allow (ex: 10.10.10.10 or 10.10.0.0/16): 192.168.28.0/24  #允许访问的地址
Adding 192.168.28.0/24 to the analyst role. This can take a few seconds...

[root@220-220 ~]# so-status	#查看各组件状态

Checking Docker status

    Docker ----------------------------------------------------------------------------------------------------------------- [ OK ]    

Checking container statuses

    so-aptcacherng --------------------------------------------------------------------------------------------------------- [ OK ]    
    so-curator ------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-dockerregistry ------------------------------------------------------------------------------------------------------ [ OK ]    
    so-elastalert ---------------------------------------------------------------------------------------------------------- [ OK ]    
    so-elasticsearch ------------------------------------------------------------------------------------------------------- [ OK ]    
    so-filebeat ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-fleet --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-grafana ------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-idstools ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-influxdb ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-kibana -------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-kratos -------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-mysql --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-nginx --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-playbook ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-redis --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-sensoroni ----------------------------------------------------------------------------------------------------------- [ OK ]    
    so-soc ----------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-soctopus ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-steno --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-backend ----------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-coordinator ------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-filestream -------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-frontend ---------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-gatekeeper -------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-manager ----------------------------------------------------------------------------------------------------- [ OK ]    
    so-suricata ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-telegraf ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-wazuh --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-zeek ---------------------------------------------------------------------------------------------------------------- [ OK ]

5、页面展示

在这里插入图片描述登录页面

在这里插入图片描述

问题记录:在执行安装命令时,安装进程会将的daemon.json管理配置文件会将registry-mirros里面的内容清空,security onion需要推送镜像到本地私有仓库,找不到私有仓库地址会导致docker重启失败,文件如下:

[root@120-221 ~]# cat /etc/docker/daemon.json
{
  "registry-mirrors": [ "https://:5000" ],
  "bip": "172.17.0.1/24",
  "default-address-pools": [
    {
      "base" : "172.17.0.0/24",
      "size" : 24
    }
  ]
}

处理方式:启动安装命令后手动将本地ip地址加入registry-mirros:私有仓库地址,实例如下:

在这里插入图片描述

DevonL77
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Security Onion:IDS/NSM、Snort、Suricata、Bro、Sguil、Squert、ELSA、Xplico-开源
05-30
Security Onion 是用于 IDS(入侵检测)和 NSM(网络安全监控)的 Linux 发行版。 它基于 Ubuntu,包含 Snort、Suricata、Bro、Sguil、Squet、ELSA、Xplico、NetworkMiner 和许多其他安全工具。 易于使用的设置向导可让您在几分钟内为您的企业构建大量分布式传感器!
ossec-hids:OSSEC是基于开源主机的入侵检测系统,它执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应
02-05
OSSEC v3.6.0版权所有(C)2019趋势科技公司。 有关OSSEC的信息 OSSEC是监视和控制系统的完整平台。 它在一个简单,功能强大且开源的解决方案中将HIDS(基于主机的入侵检测),日志监视和SIM / SIEM的所有方面结合在一起。 访问我们的网站以获取最新信息。 最新发行 ossec网站上提供了当前的稳定版本。 可以从以下位置版本: 发行文档可在以下位置获得: 发展历程 开发版本托管在GitHub上,仅是一个简单的git克隆。 屏幕截图 文件完整性监控 攻击检测 帮助支持 加入我们slack,ossec.slack.com:邀请到 在Discord上加入我们:
五款入侵检测工具介绍
VN520的博客
04-12 1714
入侵检测系统IDS)检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时,评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲,IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
qq_53058639的博客
04-13 908
SecurityOnion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。SecurityOnion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 1430
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Security Onion的部署(详细),学网络安全的入门基础知识
2401_84182906的博客
04-10 416
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
29学习安全信息与事件管理工具 Security Onion 的基本用法,包括数据采集、分析
玩机科技社的博客
04-14 3039
Security Onion附带了多种用于数据分析的工具,包括Wireshark,Snort,Elasticsearch等。默认情况下,Security Onion的网络接口将被配置为接收DHCP分配的地址。该命令将搜索所有源或目标IP地址为192.168.1.100的数据包,并在Elasticsearch中显示结果。在Security Onion中,数据采集使用的是Suricata。在使用Security Onion之前,请确保已安装最新的软件更新。该命令将启动一个配置向导,可用于配置网络接口。
Security Onion的部署(详细)
qq_72583325的博客
08-08 2060
本文介绍了开源入侵检测系统securityonion的部署
最好用的五大开源入侵检测工具
2301_76161259的博客
04-12 1681
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,数据泄露所造成的损失越大。通过采用强大的事件响应计划支持的可靠入侵检测系统(IDS),用户可以减少漏洞的潜在损害。IDS通常分为两组:基于特征码的IDS,它会通过扫描发现它们存在的已知的恶意流量并进行警报。此外还有基于异常的IDS,它会通过查看基线来暴露异常状况。
开源网络安全监控平台—Security Onion
claytang的博客
08-11 5135
01简介 安全洋葱(Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。 凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。 安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh...
security-onion, 用于 IDS NSM和日志管理的Linux发行版.zip
09-18
security-onion, 用于 IDS NSM和日志管理的Linux发行版 安全洋葱项目这个 repo 包含了 ISO映像 和路标,用于安全 Onion 。希望下载并验证安全洋葱ISO映像?请进入 Verify_ISO 页面。正在查找文档?请进入 。我想看看你 Security Onion?请进入
security-onion:Security Onion 16.04-Linux发行版,用于威胁搜寻,企业安全监视和日志管理
04-29
安全洋葱(Security Onion)是一款基于Linux开源发行版,专门设计用于威胁检测、企业安全监控以及日志管理。它的核心目标是提供一个易于部署和使用的环境,让安全专业人员能够有效地进行网络入侵检测(IDS)、网络...
securityonion-limacharlie:将日志从LimaCharlie发送到Security Onion
04-30
保安员-利马查理将日志从LimaCharlie发送到Security Onion 尝试生产之前,请先使用安全洋葱的测试实例进行测试在注册一个免费帐户。 下载传感器包装,然后按照说明在支持的操作系统上激活传感器。 创建您的检测规则...
onion WebDAV C++ library-开源
04-24
Onion是用于Win32 / UNIX / MacOS的WebDAV C ++客户端库。 它使C ++程序可以通过易于使用的API与WebDAV服务器进行通信,同时使程序可以对过程进行尽可能多的控制。
开源工具利器之基于主机的IDS:Wazuh
黑白的博客
04-19 5149
服务器端安装了wazuh的服务后,服务自动就会采集本台服务器上的信息,服务器上不需要再装agent默认目录为active-response:响应的脚本agentless:无代理安装,即用户名密码etc:配置,ossec.conf核心配置文件ruleset:自带规则库,建议不改log:日志,预警核心以下两个目录记录了何时、触发了哪些规则/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛。
探索前沿技术: IDS - 智能数据同步系统
最新发布
gitblog_00098的博客
04-23 425
探索前沿技术: IDS - 智能数据同步系统 项目地址:https://gitcode.com/zhongxunking/ids 在大数据时代,高效、安全的数据同步是许多企业和开发者的核心需求之一。今天,我们来深入了解一下IDS (Intelligent Data Synchronization),一个由钟旭King开发的智能数据同步系统。通过本文,我们将探讨IDS的特性、技术实现和应用场景,引导...
这款免费开源网络分析和威胁检测软件很牛!一文带你走进Suricata IDS
网络技术联盟站
08-06 461
Suricata 是由 OSIF 开发的免费开源网络分析和威胁检测软件,它可以用作入侵检测系统IDS)和入侵防御系统(IPS),使用规则集和签名语言来检测和预防威胁。它是 Snort 的替代方案,可以从安全角度深入了解网络上发生的情况。在本教程中,我将向您展示如何在 Ubuntu 22.04 服务器上安装 Suricata。您还可以从 Ubuntu 存储库安装 Suricata。在验证 Suricata 之前,您需要禁用网络接口上的数据包卸载功能。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 309
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Security Onion
07-29
Security Onion是一款专为入侵检测和网络安全监控设计的Linux发行版。它支持多种数据源,包括网络设备、主机和其他设备,如镜像端口、Span端口和网络嗅探器。安装Security Onion非常简单,可以在短时间内完成部署,建立一套完整的网络安全监控系统,包括数据收集、检测和分析。Security Onion可以被用作主动的安全工具,用于识别漏洞或过期的SSL证书,也可以被用作被动的安全工具,用于事件响应和网络取证。它的镜像可以作为传感器分布在网络中,监控多个VLAN和子网。如果你想安装Security Onion,你可以在VMware上进行安装,镜像地址可以在GitHub上找到。\[2\]\[3\] #### 引用[.reference_title] - *1* [29学习安全信息与事件管理工具 Security Onion 的基本用法,包括数据采集、分析](https://blog.csdn.net/m0_58782029/article/details/124169062)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Security Onion(安全洋葱)开源入侵检测系统(ids)安装](https://blog.csdn.net/xhscxj/article/details/131052669)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DevonL77

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值