Security Onion安全洋葱2.X-架构概述

已于 2022-03-12 10:38:50 修改
阅读量6.1k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全洋葱 Security Onion 安全 SIEM
于 2022-03-12 10:29:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/123439436
版权

1.流量探针
如下图为安全洋葱流量探针,Stenographer为全量pcap包获取,Zeek(bro)和Suricata为流量分析,输出meta元数据(flow流信息等)和告警日志
在这里插入图片描述
2.安全洋葱分析组件
(1)soc为安全洋葱的web管理界面
(2)Hunt为基于ES的查询界面,支持ES的查询,关联分析也在这里,但是关联分析做得很浅,只是通过Community ID, log.uid, fuid进行关联,相当于flowid关联
(3)Kibana基于ES为后端数据库的查询Web界面,提供了很多表盘,性能,威胁事件统计等
(4)PCAP,可以根据4元组,时间等查询条件查找pcap,查看威胁事件,流信息对应的pcap包,pcap可以下载,还可以pcap发送到CyberChef进行各种编码解码分析
(5)Grafana,各种仪表盘界面,性能,丢包率统计等
(6)Fleet,提供window,linux等服务器监控器,可以在Fleet管理中心下载,fleet管理中心可以对已经装好监控的服务器执行各种查询命令等
(7)TheHive,相当于工单系统,将威胁事件提取出来生成工单
(8)Playbook,对产生的告警事件,可以通过编写规则的形式,匹配上产生的告警事件,然后重新赋予事件说明,以及后续的处理。
(9)CYberchef,可以对pcap进行各种编码解码分析,应用解析等
(10)Navigator ATT&CK
(11)Grid,展示各个节点的基本信息,EPS等
在这里插入图片描述
3.一些基本内容
(1)系统使用salt来进行管理,一般通过修改/opt/so/saltstack/中的配置文件来进行配置更改
(2)流量探针产生的日志一般存放在/nsm/目录
(3)系统组件产生的日志一般存放在/opt/so/log目录

姚贤贤
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
快速安装可视化IDS系统Security Onion
weixin_33935505的博客
05-28 1306
快速安装可视化IDS系统Security Onion背景:网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?       为了节约时间,本节为大家介绍的软件叫安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,...
Security Onion安全洋葱-架构说明
zjp0591的专栏
05-04 318
管理节点运行以下组件:Security Onion控制台、Elasticsearch、Logstash、Kibana、Curator、ElastAlert、Redis、Wazuh。接收器节点是“active-active”的,您可以根据需要添加任意多个节点(在合理范围内),事件将在这些节点之间平衡。:管理搜索节点同时是管理器节点和搜索节点。当用户查询管理器节点时,管理器节点接着查询搜索节点,搜索节点返回搜索结果。与我们推荐的专用管理器节点和单独搜索节点的体系结构相比,节点将更低。重节点分布式(不推荐)
开源网络安全监控平台—Security Onion
claytang的博客
08-11 5358
01简介 安全洋葱Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。 凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。 安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh...
安全洋葱security onion)的目标与问题分析(前两个简单场景应用)
qq_52557716的博客
07-13 434
前两个场景的目标与问题分析和解决方案
开源安全态势感知平台Security Onion
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-18 2003
Security Onion是一款由安全防御人员为安全防御人员构建的免费开放平台。它包括网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理等功能。详细信息可以查看官网在网络可见性方面,Security Onion提供了基于签名的检测(通过Suricata)、使用Zeek或Suricata进行的丰富协议元数据和文件提取、使用Stenographer或Suricata进行的全包捕获,以及文件分析。
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 4540
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 677
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Security Onion安全洋葱架构概述
热门推荐
u011311291的博客
10-26 1万+
一.安全洋葱核心功能 官网:https://securityonion.net/ Security Onion将三个核心功能无缝融合在一起: 1.完整数据包捕获; 2.基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS); 3.强大的分析工具。 二.安全洋葱框架图 三.安全洋葱框架介绍(只针对NIDS) 安全洋葱主要由流量采集,流量分析,日志解析,事件检索,分析工具5个组件组成。 1.流...
Security Onion安全洋葱2.3--安装(PVE环境)
zjp0591的专栏
05-04 709
随着数据和事件消耗的增加,将需要更大的CPU容量。因此,如果有一个完全饱和的1Gbps链路,并且运行Suricata用于NIDS警报,运行Zeek用于元数据,那么需要至少5个Suricata工作线程和5个Zeek工作线程。例如,假设您正在监控平均速率为50 Mbps的链路,下面是一些快速计算:50 Mb/秒= 6.25 MB/秒= 375 MB/分钟= 22,500 MB/小时= 540,000 MB/天。带有本地日志存储和搜索的管理器节点:在企业分布式部署中,管理器节点将存储来自自身和转发节点的日志。
Security Onion安全洋葱-账号权限配置
zjp0591的专栏
05-05 281
若需自定义角色,参考。
so-data-flows:安全洋葱的数据流程图
05-09
数据流 安全洋葱的数据流程图 这些是我试图弄清楚数据如何通过安全洋葱传输的尝试。 我需要能够找到snorby和bro停止更新并试图找出失败原因的问题。 这些是使用Gliffy chrome插件生成的。 我离开了snorby数据流,因为它使关系图变得复杂。 snorby数据库是由bar过程直接编写的。 snorby数据库的任何问题也可能导致snort代理停止写入sguild。 我认为,如果您正在运行sguil,请不要运行snorby,这仅意味着您必须在两个地方确认警报,并且可能导致sguil中的snort警报停止。 话虽如此,我的问题是由过多的兄弟工人在过多的pfring上引起的,导致某种形式的资源争用打破了兄弟和snorby。 道格•伯克斯(Doug Burks)现在有一个很好的示意图,在显示了同样的东西。 Barnyard 2 的作者是一个朋友,因此在我的图表中有注释...
security-onion, 用于 IDS NSM和日志管理的Linux发行版.zip
09-18
security-onion, 用于 IDS NSM和日志管理的Linux发行版 安全洋葱项目这个 repo 包含了 ISO映像 和路标,用于安全 Onion 。希望下载并验证安全洋葱ISO映像?请进入 Verify_ISO 页面。正在查找文档?请进入 。我想看看你 Security Onion?请进入
Security Onion:IDS/NSM、Snort、Suricata、Bro、Sguil、Squert、ELSA、Xplico-开源
05-30
Security Onion 是用于 IDS(入侵检测)和 NSM(网络安全监控)的 Linux 发行版。 它基于 Ubuntu,包含 Snort、Suricata、Bro、Sguil、Squet、ELSA、Xplico、NetworkMiner 和许多其他安全工具。 易于使用的设置向导可让您在几分钟内为您的企业构建大量分布式传感器!
splunk-security-onion:安全洋葱 Splunk 应用程序
06-05
**安全洋葱(Security Onion)与Splunk应用程序** 安全洋葱(Security Onion)是一个开源的安全监测解决方案,专门设计用于网络监控、威胁检测和事件响应。它整合了各种开源工具,如Elasticsearch、Logstash、Kibana...
Security Onion安全洋葱-wazuh客户端安装
zjp0591的专栏
05-05 429
则修改/etc/hosts,删除::1 securityonion-cqt。安装key:/var/ossec/bin/manage_agents -i key。下载的agent包:wazuh-agent-3.13.1-1.x86_64.rpm。(4)输入e,再输入agent id,生成agent key。(2)输入A,配置agent的ip和名称。4、被监控服务器上修改配置文件:vi。2、在被监控服务器上安装agent。]:587改为自己的邮件服务配置。5、重启postfix。
使用安全洋葱分析 Windows 事件日志
m0_59598029的博客
05-08 1448
是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。接下来我将给各位同学划分一张学习计划表!
2023年上半年安全洋葱security onion)的探索使用(序)
qq_52557716的博客
07-12 545
Security Onion 是一个免费开放的平台,用于威胁搜寻、企业安全监控和日志管理。它包括自己的Alerts、Dashboards、Hunt、PCAP和Cases功能组件以及其他外部工具。 简单来说,它可以看做是一个免费开放的网络安全监控 (NSM) 和企业安全监控 (ESM) 平台。简而言之,NSM 是监视网络中与安全相关的事件。当用于识别漏洞或过期 SSL 证书时,它可能是主动的,也可能是被动的,例如在事件响应和网络取证中。无论您是在跟踪对手还是试图阻止恶意软件,NSM 都能为您的网络提供上下文、
Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程
DevonL的博客
04-12 5179
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。 易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队 Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值