快速安装可视化IDS系统

最新推荐文章于 2023-06-20 16:30:00 发布
最新推荐文章于 2023-06-20 16:30:00 发布
阅读量239 收藏
点赞数
文章标签: python 运维
原文链接:https://my.oschina.net/chenguang/blog/683493
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

快速安装可视化IDS系统

       本节为大家介绍的软件叫安全洋葱Security Onion,根OSSIM一样,它是基于DebianLinux的系统,内部集成了很多开源安全工具,NIDS、HIDS、各种监控工具等等,下面我们就一起体会一下它如何进行深层防御。

wKiom1dJBNzxxVBkAAF_icwFlK0877.png

 

为了了解这套系统,首先得教小白如何快速安装这套可用的IDS系统。先要准备实验用的ISO安装文件(下载地址:https://sourceforge.net/projects/security-onion/  )。接着进行如下操作:

1.将SO安装到硬盘

从SO的iso文件引导系统,选择live,然后等待启动到桌面环境,单击安装图标根据提示进行系统安装。安装完成重启系统。

然后使用以下命令

$sudo apt-get update && sudo apt-get dist-upgrade   (更新安装的软件)。

刚装完系统,会进入系统会启动XFCE桌面。

clip_image002

图1

点击Setup,提示输入密码。

clip_image004

 

输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。

clip_image005

 

接下来,配置网络接口

clip_image007

在这个环节系统会自动优化你的网卡,包括禁用一些有可能干扰监听的一些功能。更多信息查看,如果此时,选择No,not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes,configure /etc/network/interfaces。

2.选择管理接口

通常,系统会默认的将第一块网卡设定为管理接口,如果只有一块网卡,那么管理接口和监听接口合二为一。

clip_image009

单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射,才选择DHCP自动获取。

clip_image010

指定IP

clip_image011

点击OK,然后指定掩码。

clip_image012

点击OK,然后设定网关。

clip_image013

点击OK后设定DNS。

clip_image014

点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。

clip_image015

点击OK后系统给出管理接口的网络配置清单。

clip_image017

核对无误后点击Yes,make changest按钮,这时系统提示重新启动。点击Yes,reboot!

clip_image019

注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

3.组件安装

重启系统之后,我们再进入系统XFCE桌面环境。按图1中选择setup,弹出图2和图3。

选择Yes,Continue按钮后弹出。

clip_image021

我们选择Yes,skip network configuration,建议初学者选择快速配置。

clip_image023

点击OK,继续。由于SO是使用电子邮件地址作为独立认证机制,下面输入你常用电子邮箱,将被Snorby用于生成报警日志。

clip_image024

点击OK按钮后,下面需要提供NSM组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。

clip_image025

实例中设定的用户名为cgweb。

命名规则只能是字母的组合

输入OK后,下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

clip_image027

点击OK后, 确认口令。

clip_image028

当再次确认口令,点击OK按钮后,也就是SO NSM应用程序创建完了凭证,配置脚本会问你,是否想安装企业日志搜索和归档ELSA。

clip_image030

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。

此时,SO会提示用户,准备做好变更,看你是否同意。

clip_image031

我们选择继续改变。SO要配置系统的时区,可以使用UTC,然后安装与其打包在一起的所有NSM应用程序。

clip_image032

接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

clip_image033

可使用sostat检查服务运行状态。

clip_image035

点击OK,后弹出注意涉及IDS规则管理的内容。

clip_image036

有问题可以访问下图的站点

clip_image037

4.检查安装状态

当单机系统完成安装,应该采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是否在线。

clip_image039

如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。

在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是否正常。

注意:一个IP只能同时连接一台SO服务器。

5.Web浏览器访问

检查通过后,你可以在浏览器上输入刚分配的IP地址,https://192.168.91.228/,会打开如下SO的欢迎界面。

首次用浏览器登陆会遇到HTTPS证书不可信的提示,因为它没有签名。

clip_image041

当你点击信任就不会再提示了。

clip_image043

你可以通过这个界面来访问Snorby NSM应用程序,单击Snorby连接,弹出如下界面。

clip_image045

界面会显示你的SO IP地址以及端口444。Snorby会提示你输入刚才的电子邮件地址,及口令。单击Welcome,Singn In按钮登录系统。这时根据你传感器部署位置不同以及网络活跃程度不同,在控制面板上看到不同的流量信息。

clip_image047

如对屏幕下方出现的两个特定警报感兴趣,那么可点击条目查看到详情。具体分析会在《开源安全运维平台OSSIM最佳实践》一书中讲解。

6.升级注意事项

首先你需要了解Upgrade与dist-upgrade之间区别是什么。

如果运行upgrade,会得到一组选项,选择dist-upgrade将会产生另一组徐选项。

$sudo apt-get upgrade

转载于:https://my.oschina.net/chenguang/blog/683493

weixin_34408624
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IDS集成套件easyIDS安装
John:网络安全_Qt技术_积累
06-07 2995
http://1.johnhome.sinaapp.com/?p=180 easyIDS自身是安装在centos中的基于snort2.8的入侵检测集成环境,可直接安装于独立的计算机或虚拟机中。开发官网上有简要说明:http://www.skynet-solutions.net/About-EasyIDS。最近更新为2009年12月,其实我们可以把iso下载回来,进行修改再发布升级
Snowman:Snort IDS的规则管理系统
05-24
4. **可视化界面**:提供用户友好的图形界面,使得规则管理过程更为直观,降低技术门槛。 5. **日志分析**:能够分析Snort的日志输出,帮助用户理解规则的触发情况,优化规则配置。 6. **兼容性**:Snowman设计时...
Sguil-开源
06-27
Sguil(读作 sgweel)的主要组件是一个直观的 GUI,它接收来自 snort/barnyard 的实时事件。 它包括促进网络安全监控 (NSM) 实践和 IDS 警报事件驱动分析的其他组件。
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 4502
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
IDS入侵检测系统研究
05-13
在分布式计算环境中,信息系统首先需要考虑的就是保护数据和资源免遭未授权的非法访问、操作,甚至恶意入侵和破坏,因此安全管理日益成为人们关注的焦点.在诸多的新兴技术中,IDS(入侵检测系统)以它新颖的思路和广阔的应用前景而倍受青睐
银行联网可视化综合解决方案.rar
09-07
联网可视化能提供全面的安全监控视图,包括防火墙日志、入侵检测系统IDS)报警、数据泄露防护等,帮助安全团队及时发现并响应威胁。同时,通过可视化安全策略,可以更好地理解和调整安全配置,降低风险。 6. 决策...
authviz:auth.log的可视化工具
05-18
`authviz`是一个专门用于可视化`auth.log`数据的Python工具,它将复杂的数据转化为直观的图形,帮助管理员快速理解和发现潜在的安全问题。 **Python编程基础** `authviz`基于Python语言开发,Python是一种高级、...
电信设备-可视化集中管理可信策略和报告的系统与方法.zip
09-18
"电信设备-可视化集中管理可信策略和报告的系统与方法"是一个重要的主题,它涉及到如何通过先进的技术和策略实现对电信设备的全面监控和控制。这个主题的核心是构建一个可视化、集中化的管理系统,旨在提高运营效率...
电力物联网安全可视化知识图谱的泛技术.pdf
11-28
通过全场景网络可视化分析,可以增强对业务风险的抵御,对流量、安全日志、恶意样本等数据进行深度分析,提取威胁情报,从而提升系统的整体安全性。 综上所述,知识图谱在泛在电力物联网安全可视化中的应用具有重大...
入侵检测数据集 CIC-IDS-2017 完整版本
05-16
CIC-IDS-2017 入侵检测数据集,包含以下8个CSV文件:可以用于机器学习的训练 Friday-WorkingHours-Afternoon-DDos.pcap_ISCX.csv Friday-WorkingHours-Afternoon-PortScan.pcap_ISCX.csv Friday-WorkingHours-Morning.pcap_ISCX.csv Monday-WorkingHours.pcap_ISCX.csv Thursday-WorkingHours-Afternoon-Infilteration.pcap_ISCX.csv Thursday-WorkingHours-Morning-WebAttacks.pcap_ISCX.csv Tuesday-WorkingHours.pcap_ISCX.csv Wednesday-workingHours.pcap_ISCX.csv
福特车IDS软件简介及使用方法练习
10-25
福特车IDS软件简介及使用方法练习,对VCM通讯线连接的马自达、路虎、福特汽车诊断软件如何使用做了简要介绍
黑客工具软件大全
最新发布
ZL_1618的博客
06-20 1028
👇👇👇如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👆👆👆。
Security Onion Solutions 2.3.10部署指南
李晨光原创IT博客
11-23 2932
(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验) 1.部署准备 1.1 什么是Security Onion Solution Security Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,Cyber​​Chef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。 Sec
linux安装ids
哥的博客
05-14 1725
1安装前提linux安装包下载地址1(rpm):https://centos.pkgs.org/6/centos-x86_64/linux安装包下载地址2(tar):http://download.chinaunix.net/search/         注意:安装软件之前用命令rpm-qa | grep 软件名(如rpm -qa | grep libpcap-devel)查看系统是否已经存在,...
从壹开始 [ Ids4实战 ] 之五 ║ 多项目集成统一认证中心的思考
微赚淘客开发者博客
11-13 410
前言 哈喽大家好,好久都没有写文章了,这次又重新开始写技术文章了,半年前我还是一直保持每周都写文章的,后来是为了响应群友的号召,开始踏上了录制视频(https://www.bilibili.com/video/av58096866),直播授课(https://live.bilibili.com/21507364)的道路,目前看来效果还算基本及格吧,虽然人气没有那些大佬的多,不过我也是一直很...
配置ids的步骤
subsars的专栏
11-24 1662
安装oracle和ids安装jdk1.6安装ids的jinit,安装位置在D:/DevSuiteHome_1/jinit/jinit;将C:/Program Files/Java/jre6/bin/client/jvm.dll覆盖C:/Program Files/Oracle/JInitiator 1.3.1.22/bin/hotspot/jvm.dll;修改D:/DevSu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值