- 博客(5)
- 资源 (6)
- 收藏
- 关注
原创 Security Onion安全洋葱-wazuh客户端安装
则修改/etc/hosts,删除::1 securityonion-cqt。安装key:/var/ossec/bin/manage_agents -i key。下载的agent包:wazuh-agent-3.13.1-1.x86_64.rpm。(4)输入e,再输入agent id,生成agent key。(2)输入A,配置agent的ip和名称。4、被监控服务器上修改配置文件:vi。2、在被监控服务器上安装agent。]:587改为自己的邮件服务配置。5、重启postfix。
2023-05-05 15:55:52
389
原创 Security Onion安全洋葱-告警邮件配置
安全洋葱平台通过elastalert来实现邮件告警,elastalert依照一定频率查询es,将查询结果对比告警阈值,超过阈值即进行告警。日志位置/opt/so/log/elastalert/elastalert.log,在日志中可以查看到过滤数量和规则执行情况。在/opt/so/rules/elastalert/下创建密码文件email_auth.auth,密码可以是授权码。
2023-05-04 15:34:44
307
1
原创 Security Onion安全洋葱-架构说明
管理节点运行以下组件:Security Onion控制台、Elasticsearch、Logstash、Kibana、Curator、ElastAlert、Redis、Wazuh。接收器节点是“active-active”的,您可以根据需要添加任意多个节点(在合理范围内),事件将在这些节点之间平衡。:管理搜索节点同时是管理器节点和搜索节点。当用户查询管理器节点时,管理器节点接着查询搜索节点,搜索节点返回搜索结果。与我们推荐的专用管理器节点和单独搜索节点的体系结构相比,节点将更低。重节点分布式(不推荐)
2023-05-04 15:27:45
288
1
原创 Security Onion安全洋葱2.3--安装(PVE环境)
随着数据和事件消耗的增加,将需要更大的CPU容量。因此,如果有一个完全饱和的1Gbps链路,并且运行Suricata用于NIDS警报,运行Zeek用于元数据,那么需要至少5个Suricata工作线程和5个Zeek工作线程。例如,假设您正在监控平均速率为50 Mbps的链路,下面是一些快速计算:50 Mb/秒= 6.25 MB/秒= 375 MB/分钟= 22,500 MB/小时= 540,000 MB/天。带有本地日志存储和搜索的管理器节点:在企业分布式部署中,管理器节点将存储来自自身和转发节点的日志。
2023-05-04 15:20:12
667
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人