29学习安全信息与事件管理工具 Security Onion 的基本用法,包括数据采集、分析

已于 2023-04-01 12:58:27 修改
阅读量3k 收藏 7
点赞数 2
分类专栏: 服务器 运维 文章标签: 运维开发 服务器
于 2022-04-14 12:38:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58782029/article/details/124169062
版权

Security Onion 是一款用于监控和分析网络流量的 Linux 发行版。它内置了多种安全工具和服务,如 Snort、Suricata、Zeek、Elasticsearch、Kibana 等,可以对网络流量进行深度分析和挖掘,帮助用户快速发现安全威胁。

下面是 Security Onion 的基本用法教程,包括数据采集和分析。

数据采集

部署 Security Onion

首先,需要在一台物理或虚拟机上安装 Security Onion。可以通过以下步骤完成安装:

  1. 下载最新的 Security Onion ISO 镜像文件,可从 Security Onion 官网 下载。
  2. 将 ISO 镜像文件写入 U 盘或 DVD 光盘中。
  3. 将 U 盘或 DVD 光盘插入目标计算机,然后从 U 盘或 DVD 光盘启动计算机。
  4. 进入 Security Onion 安装向导,按照提示进行安装。安装过程中需要选择安装模式和磁盘分区方案等。

配置网络接口

安装完成后,需要配置网络接口。在终端中执行以下命令:

bashCopy code

sudo so-allow sudo so-status

so-allow 命令会提示您输入一个 IP 地址或网段,以允许从该 IP 地址或网段访问 Security Onion 的各个服务。so-status 命令会列出 Security Onion 的网络接口和 IP 地址,以及各个服务的状态。

配置数据源

配置数据源是 Security Onion 的核心步骤之一。在 Security Onion 中,数据源指的是网络流量的来源,可以是网络设备、主机或其他设备。Security Onion 支持多种数据源,如镜像端口、Span 端口、网络嗅探器等。

在 Security Onion 中,可以通过以下方式配置数据源:

  1. Setup 菜单中选择 Sensors
  2. 单击 Create 按钮创建一个新的传感器配置。
  3. 在传感器配置页面中,输入名称、类型、网络接口等信息。
  4. 配置 Snort、Suricata、Zeek 等服务的规则文件和设置。
  5. 单击 Save 按钮保存配置。

启动数据采集服务

配置数据源后,需要启动数据采集服务。在 Security Onion 中,数据采集服务包括 Snort、Suricata、Zeek 等多个服务。

可以通过以下方式启动数据采集服务:

  1. Setup 菜单中选择 Services
  2. 选择要启动的服务,单击右侧的 Start 按钮即可启动服务。

数据分析

安装和配置完 Security Onion 后,可以开始对数据进行分析。在 Security Onion 中,

在数据采集和分析之前,您需要安装和配置Security Onion。您可以按照官方文档进行操作,这里我们不再赘述。

  1. 数据采集

在Security Onion中,数据采集主要通过Zeek和Suricata完成。下面是如何使用它们来收集数据的方法:

a. Zeek数据收集

i. 打开Terminal并运行以下命令来开始Zeek:

sudo so-allow
sudo so-restart

  1. 这将启动Zeek进程并允许其使用网络适配器。

    ii. 要开始Zeek捕获,请使用以下命令:

     
    bashCopy code
     
    sudo tail -f /nsm/so-<sensor>/logs/current/conn.log 
     
    其中,<sensor>是指您的传感器名称。使用此命令后,您将看到实时的连接日志输出。
     
    b. Suricata数据收集
     
    i. 在Security Onion中,Suricata可以通过AF_PACKET和NFQUEUE两种模式进行捕获。默认情况下,Security Onion使用AF_PACKET模式。
     
    ii. 打开Terminal并运行以下命令以启动Suricata:
     
     
    Copy code
     
    sudo so-allow sudo so-restart 
     
    iii. 要开始Suricata捕获,请使用以下命令:
     
     
    bashCopy code
     
    sudo tail -f /nsm/so-<sensor>/logs/fast.log 
     
    其中,<sensor>是指您的传感器名称。使用此命令后,您将看到实时的快速模式日志输出。
     
  2. 数据分析
  3.  
    Security Onion使用Elasticsearch、Logstash和Kibana(ELK)堆栈来实现数据可视化和分析。下面是如何使用它们来分析数据的方法:
     
    a. 打开Kibana,并从左侧面板中选择“Discover”。
     
    b. 您可以在“Discover”选项卡中使用搜索框来搜索特定的日志。例如,如果您想查找某个IP地址的所有连接日志,请在搜索框中输入:
     
     
    makefileCopy code
     
    source.ip: <ip_address> 
     
    c. 您可以在“Discover”选项卡上使用“Filter”来进一步过滤搜索结果。例如,如果您想查找源IP地址为192.168.1.1,目标IP地址为192.168.1.2的所有连接日志,请在搜索框中输入:
     
    source.ip: 192.168.1.1 AND destination.ip: 192.168.1.2

     
    d. 您可以使用Kibana的可视化工具来生成图表和报表。
     
    这是一个使用Security Onion的基本数据采集和分析教程。请注意,在实际使用Security Onion时,您需要针对您的特定情况进行自定义配置。
     

                

        

        

    




    

      

        

            

              
                
                  玩机科技社
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    7
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理

				
			

			

				

					09-14
				

			

		

		

			
				
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。本资源为Security Onion使用手册最新版V2.4的全中文翻译版。

			
		

	



                

              
                



	

		

			

				
					
security-onion:Security Onion 16.04-Linux发行版,用于威胁搜寻,企业安全监视和日志管理

				
			

			

				

					04-29
				

			

		

		

			
				
安全洋葱
安全洋葱16.04已到使用寿命:
 您可以在以下位置找到新的Security Onion 2存储库:

			
		

	



                


  
              

                


	

		

			

				
					
Burpsuite 指纹特征绕过

				
			

			

				

					Javachichi的博客
				

				

					12-05
					
					1458
					
				

			

		

		

			
				
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。

			
		

	





	

		

			

				
					
Security Onion(安全洋葱)开源入侵检测系统(ids)安装

				
			

			

				

					qq_53058639的博客
				

				

					06-06
					
					876
					
				

			

		

		

			
				
SecurityOnion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。SecurityOnion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

			
		

	



		

			
		



	

		

			

				
					
推荐开源项目:安全洋葱(Security Onion) 2.3

					
最新发布

				
			

			

				

					gitblog_00098的博客
				

				

					06-07
					
					428
					
				

			

		

		

			
				
推荐开源项目:安全洋葱(Security Onion) 2.3
项目地址:https://gitcode.com/Security-Onion-Solutions/securityonion
在网络安全领域,有一款独特的开源项目值得我们关注——Security Onion 2.3。这是一款强大的网络监控和威胁检测系统,专为那些希望提升其网络防御能力的IT专业人士打造。
项目介绍
Security ...

			
		

	





	

		

			

				
					
家庭网络防御系统搭建-虚拟机安装siem/securityonion网络连接问题汇总

				
			

			

				

					村中少年的专栏
				

				

					04-11
					
					769
					
				

			

		

		

			
				
在使用虚拟机安装siem/security onion的时候,会存在很多网络访问问题,本文是这些问题的汇总

			
		

	





	

		

			

				
					
Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程

				
			

			

				

					DevonL的博客
				

				

					04-12
					
					4900
					
				

			

		

		

			
				
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。

易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队
Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等

			
		

	





	

		

			

				
					
开源网络安全监控平台—Security Onion

				
			

			

				

					claytang的博客
				

				

					08-11
					
					5158
					
				

			

		

		

			
				
01简介

安全洋葱(Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。

凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。

安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh...

			
		

	





	

		

			

				
					
Security-Onion-Solutions安全洋葱安装方法

				
			

			

				

					R0ot
				

				

					10-14
					
					2921
					
				

			

		

		

			
				
设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像。安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如:Grafana、TheHive、Playbook、         Fleet / Osquery、Winlogbeat,集众多安全软件工具为一身的开源流量分析平台。

			
		

	





	

		

			

				
					
security-onion, 用于 IDS NSM和日志管理的Linux发行版.zip

				
			

			

				

					09-18
				

			

		

		

			
				
security-onion, 用于 IDS NSM和日志管理的Linux发行版 安全洋葱项目这个 repo 包含了 ISO映像 和路标,用于安全 Onion 。希望下载并验证安全洋葱ISO映像?请进入 Verify_ISO 页面。正在查找文档?请进入 。我想看看你 Security Onion?请进入

			
		

	





	

		

			

				
					
linuxsecurity(安全宝典)

				
			

			

				

					04-19
				

			

		

		

			
				
NULL
博文链接:https://xjl712.iteye.com/blog/1856630

			
		

	





	

		

			

				
					
securityonion:一些可以在安全洋葱终端上使用的脚本

				
			

			

				

					06-26
				

			

		

		

			
				
安全洋葱
一些可以在安全洋葱终端上使用的脚本。

			
		

	





	

		

			

				
					
security-onion-sandbox:基于安全洋葱操作的沙箱

				
			

			

				

					05-14
				

			

		

		

			
				
该项目管理用于的沙箱,  使用了定义的定义打包程序沙箱。 用法  # install require gems, puppet modules and fire up vagrant  $ ./boot.sh 版权和许可 版权所有[2014] [Narkis Ronen]  根据Apache许可版本2.0(...

			
		

	





	

		

			

				
					
splunk-security-onion:安全洋葱 Splunk 应用程序

				
			

			

				

					06-05
				

			

		

		

			
				
总的来说,"Splunk Security Onion"是将强大的日志分析平台与全面的网络安全工具集相结合,为安全专业人员提供了强大且灵活的威胁检测和响应解决方案。通过深入学习和熟练运用,用户可以构建一个高度自动化和智能化...

			
		

	





	

		

			

				
					
Security Onion安全洋葱架构概述

				
			

			

				

					u011311291的博客
				

				

					10-26
					
					1万+
					
				

			

		

		

			
				
一.安全洋葱核心功能
官网:https://securityonion.net/
Security Onion将三个核心功能无缝融合在一起:
1.完整数据包捕获;
2.基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS);
3.强大的分析工具。
二.安全洋葱框架图

三.安全洋葱框架介绍(只针对NIDS)
安全洋葱主要由流量采集,流量分析,日志解析,事件检索,分析工具5个组件组成。
1.流...

			
		

	





	

		

			

				
					
Security Onion Solutions 2.3.10部署指南

				
			

			

				

					李晨光原创IT博客
				

				

					11-23
					
					2915
					
				

			

		

		

			
				
(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验)

1.部署准备

1.1 什么是Security Onion Solution

Security Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,Cyber​​Chef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。

Sec

			
		

	





	

		

			

				
					
Security onion的安装和配置

					
热门推荐

				
			

			

				

					zzyandzzzy的博客
				

				

					11-06
					
					1万+
					
				

			

		

		

			
				
一、简介
Security onion(以下简称SO)是一个用于网络安全监控的工具。
网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDS和HIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵

			
		

	





	

		

			

				
					
Security Onion

				
			

			

				

					07-29
				

			

		

		

			
				
Security Onion是一款专为入侵检测和网络安全监控设计的Linux发行版。它支持多种数据源,包括网络设备、主机和其他设备,如镜像端口、Span端口和网络嗅探器。安装Security Onion非常简单,可以在短时间内完成部署,建立一套完整的网络安全监控系统,包括数据收集、检测和分析Security Onion可以被用作主动的安全工具,用于识别漏洞或过期的SSL证书,也可以被用作被动的安全工具,用于事件响应和网络取证。它的镜像可以作为传感器分布在网络中,监控多个VLAN和子网。如果你想安装Security Onion,你可以在VMware上进行安装,镜像地址可以在GitHub上找到。\[2\]\[3\]
#### 引用[.reference_title]
-  *1* [29学习安全信息事件管理工具 Security Onion 的基本用法包括数据采集分析](https://blog.csdn.net/m0_58782029/article/details/124169062)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item]
-  *2* *3* [Security Onion(安全洋葱)开源入侵检测系统(ids)安装](https://blog.csdn.net/xhscxj/article/details/131052669)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
玩机科技社

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值