Security Onion安全洋葱架构概述

最新推荐文章于 2024-07-23 21:30:00 发布
最新推荐文章于 2024-07-23 21:30:00 发布
阅读量1w 收藏 12
点赞数 3
分类专栏: 安全 文章标签: 安全洋葱 Security Onion HIDS NIDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/83414776
版权

一.安全洋葱核心功能
官网:https://securityonion.net/
Security Onion将三个核心功能无缝融合在一起:
1.完整数据包捕获;
2.基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS);
3.强大的分析工具。

二.安全洋葱框架图
在这里插入图片描述

三.安全洋葱框架介绍(只针对NIDS)
安全洋葱主要由流量采集,流量分析,日志解析,事件检索,分析工具5个组件组成。
1.流量采集组件
采集网口中的完成流量包
(1)netsniff-ng
捕获完整流量包
2.流量分析组件
和netsniff-ng组件独立,实时监控和分析当前网络流量
(1)Bro
实时基于分析驱动的分析检测流量,输出分析日志,不保存原始流量
(2)Snort/Suricata
实时基于规则分析检测流量,输出分析日志,默认unified2格式,分析结果可以通过Sguil,Elasticsearch查看,不保存原始流量
3.日志解析组件
解析和正则化Bro,Snort/Suricata生成的日志文件,生成事件,供Elasticsearch
检索
(1)Logstash
是一个开源的服务器端数据处理管道,它同时从多个源中提取数据,对其进行转换,然后将其发送到存储点,由bro生成的log和Snort/Suricata生成的分析结果日志,经过解析和正则化后生成的日志组成,因为使用的是进程通信管道,所以有队列,分为磁盘队列和内存队列,队列中的单位为事件
4.事件检索组件
对Logstash生成的事件进行管理和检索。
(1)Elasticsearch
摄取和索引日志,输入数据为Logstash,是一个分布式RESTful(一种软件设计风格)搜索和分析引擎,其中Elasticsearch由4个小组件组成:
a.Curator
用于定期管理Elasticsearch索引和快照
b.DomainStats
通过上下文获取域名的附加信息,例如创建时间,年龄,信誉(确定域是否是Alexa / Cisco Umbrella前100万个站点的成员),domain_stats.py,它被开发用于与SIEM结合使用并且在生产环境中。具体来说,它已与弹性堆栈结合使用,例如Logstash查询,取得了巨大成功。在Production Mode使用Best Practices模式下是不开启的,要自己单独开启,并且需要互联网,需要连接到外网的whois服务器
c.ElastAlert
是一个简单的框架,基于规则,用于告警Elasticsearch中数据的异常,还有多种警报机制,例如Slack,Email
d.FreqServer
检测DGA和查找随机文件名,脚本名称,进程名称,服务名称,工作站名称,TLS证书主题和颁发者主题等,基于freq.py和freq_server.py,在Production Mode使用Best Practices模式下是不开启的,要自己单独开启。
5.分析工具
安全洋葱提供多种可视化事件追溯,分析工具。
(1)Sguil
用于查看Snort或Suricata警报,和Bro HTTP事件。更重要的是,Sguil允许您直接从警报“转移”到数据包捕获(通过Wireshark或NetworkMiner)或触发警报的完整会话的记录。本质是mysql数据库
(2)Squert
服务于Sguil,它允许查询Sguil数据库并为数据提供多种可视化选项,例如“时间序列表示,加权和逻辑”分组结果集“和地理IP映射等,还尝试通过使用元数据,时间序列表示以及加权和逻辑分组的结果集来为事件提供额外信息
(3)Kibana
可视化,可以快速分析和转换so生成的不同的数据类型,最主要的目的是配合Elasticsearch工作,进行高级数据分析
6.其它分析工具
(1)CapME
主要服务于sguil,也是一个web界面,主要功能
a.查看使用tcpflow呈现的pcap脚本
b.查看用Bro渲染的pcap脚本(特别有助于处理gzip编码)
c.下载一个pcap

四.安全洋葱文件路径
1./usr/sbin/so-* 该目录下存放的所有组件的启动,关闭服务等
2./etc/nsm so的配置和数据
(1) rules 该文件夹包含了Snort/Suricatad等规则
3./nsm 存放so收集输出的所有数据,子目录如下:
(1)bro 主要存放bro组件产生的日志
(2)elasticsearch
(3)import
(4)logstash
(5)sensor_data 传感器收集到的日志
a.dailylogs主要存放netsniff-ng抓到的完整流量包
b.snort.unified2.时间戳 Snort/Suricata输出的ids检测结果,但是unified2格式,查看或者获取可以通过sguil,或者mysql中的数据表
(6)server_data
5./etc/logstash logstash 的配置目录
6./etc/elastalert ElastAlert的配置目录
7./etc/Kibana kibana的配置文件
8./opt 安全洋葱so组件的源代码

姚贤贤
关注
专栏目录
splunk-security-onion:安全洋葱 Splunk 应用程序
06-05
**安全洋葱(Security Onion)与Splunk应用程序** 安全洋葱(Security Onion)是一个开源的安全监测解决方案,专门设计用于网络监控、威胁检测和事件响应。它整合了各种开源工具,如Elasticsearch、Logstash、Kibana...
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 4573
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
Security-Onion-Solutions安全洋葱安装方法
R0ot
10-14 3137
设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像。安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如:Grafana、TheHive、Playbook、 Fleet / Osquery、Winlogbeat,集众多安全软件工具为一身的开源流量分析平台。
使用安全洋葱分析 Windows 事件日志
最新发布
Karka_的博客
07-23 991
是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。
29学习安全信息与事件管理工具 Security Onion 的基本用法,包括数据采集、分析
玩机科技社的博客
04-14 3161
Security Onion附带了多种用于数据分析的工具,包括Wireshark,Snort,Elasticsearch等。默认情况下,Security Onion的网络接口将被配置为接收DHCP分配的地址。该命令将搜索所有源或目标IP地址为192.168.1.100的数据包,并在Elasticsearch中显示结果。在Security Onion中,数据采集使用的是Suricata。在使用Security Onion之前,请确保已安装最新的软件更新。该命令将启动一个配置向导,可用于配置网络接口。
Security Onion的部署(超详细)
qq_72583325的博客
08-08 2553
本文介绍了开源入侵检测系统securityonion的部署
security-onion:Security Onion 16.04-Linux发行版,用于威胁搜寻,企业安全监视和日志管理
04-29
安全洋葱Security Onion)是一款基于Linux的开源发行版,专门设计用于威胁检测、企业安全监控以及日志管理。它的核心目标是提供一个易于部署和使用的环境,让安全专业人员能够有效地进行网络入侵检测(IDS)、网络...
securityonion-docker:用于安全洋葱的Docker文件
05-25
securityonion-docker 此存储库包含用于Security Onion的Docker文件。
security-onion-sandbox:基于安全洋葱操作的沙箱
05-14
介绍 该项目管理用于的沙箱, 使用了定义的定义打包程序沙箱。 用法 # install require gems, puppet modules and fire up vagrant $ ./boot.sh 版权和许可 版权所有[2014] [Narkis Ronen] 根据Apache许可版本...
onion-jqassistant-sample:使用jqAssistant进行洋葱架构架构治理示例
05-10
洋葱架构治理示例 该存储库包含一个简单的示例,该示例在帮助下为基于原型的洋葱架构实现架构治理。 除了定义样本概念和相关的样本约束之外,该存储库还演示了如何直接在基于AsciiDoc的体系结构文档中记录...
security-onion, 用于 IDS NSM和日志管理的Linux发行版.zip
09-18
security-onion, 用于 IDS NSM和日志管理的Linux发行版 安全洋葱项目这个 repo 包含了 ISO映像 和路标,用于安全 Onion 。希望下载并验证安全洋葱ISO映像?请进入 Verify_ISO 页面。正在查找文档?请进入 。我想看看你 Security Onion?请进入
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 948
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程
DevonL的博客
04-12 5239
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。 易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队 Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等
开源网络安全监控平台—Security Onion
claytang的博客
08-11 5433
01简介 安全洋葱Security Onion)是一个免费的开源平台,用于网络、主机和企业安全监控和日志管理(收集和后续分析)。 凭借可用的软件包集合,Security Onion为高需求的事件响应和取证用例提供了一个最佳的、高度可扩展的解决方案。 安全洋葱有丰富的数据收集,安全分析,数据分析和可视化组件。它包括TheHive、Playbook、Fleet、osquery、CyberChef、Elasticsearch、Logstash、Kibana、Suricata、Zeek、Wazuh...
安全洋葱security onion)的目标与问题分析(前两个简单场景应用)
qq_52557716的博客
07-13 452
前两个场景的目标与问题分析和解决方案
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 1960
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
Security Onion的部署(超详细),学网络安全的入门基础知识
2401_84182906的博客
04-10 498
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值