Security Onion安全洋葱-告警邮件配置

最新推荐文章于 2024-09-13 16:45:26 发布
最新推荐文章于 2024-09-13 16:45:26 发布
阅读量353 收藏
点赞数
分类专栏: 安全洋葱 文章标签: 安全 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjp0591/article/details/130488058
版权
本文介绍了如何在Security Onion平台上配置Elastalert以实现通过邮件发送告警。Elastalert定期检查Elasticsearch(ES)数据,当查询结果超过预设阈值时触发告警。配置包括创建email_alert.yaml规则文件和包含授权码的email_auth.auth密码文件,日志文件elastalert.log记录了过滤和规则执行详情。
摘要由CSDN通过智能技术生成

安全洋葱平台通过elastalert来实现邮件告警,elastalert依照一定频率查询es,将查询结果对比告警阈值,超过阈值即进行告警。

一、配置过程

在/opt/so/rules/elastalert/下创建email_alert.yaml文件:

email_alert.yaml

# Elasticsearch Host Override (optional)

# es_host: elasticsearch

# es_port: 9200

# (Required)

# Rule name, must be unique

name: email-alert

use_strftine_index: true

type: any

index: '*:so-*'

priority: 1

realert:

  minutes: 1

type: any

filter:

- query:

    
最低0.47元/天 解锁文章
zjp0591
关注
专栏目录
Security Onion安全洋葱-账号权限配置
zjp0591的专栏
05-05 289
若需自定义角色,参考。
Security Onion安全洋葱2.X-架构概述
u011311291的博客
03-12 6164
1.流量探针 如下图为安全洋葱流量探针,Stenographer为全量pcap包获取,Zeek(bro)和Suricata为流量分析,输出meta元数据(flow流信息等)和告警日志 2.安全洋葱分析组件 (1)soc为安全洋葱的web管理界面 (2)Hunt为基于ES的查询界面,支持ES的查询,关联分析也在这里,但是关联分析做得很浅,只是通过Community ID, log.uid, fuid进行关联,相当于flowid关联 (3)Kibana基于ES为后端数据库的查询Web界面,提供了很多表盘,性能
Security Onion Solutions 2.3.10部署指南
李晨光原创IT博客
11-23 2992
(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验) 1.部署准备 1.1 什么是Security Onion Solution Security Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,Cyber​​Chef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。 Sec
家庭网络防御系统搭建-虚拟机安装siem/securityonion网络连接问题汇总
村中少年的专栏
04-11 820
在使用虚拟机安装siem/security onion的时候,会存在很多网络访问问题,本文是这些问题的汇总
2023年上半年安全洋葱security onion)的探索使用(序)
qq_52557716的博客
07-12 576
Security Onion 是一个免费开放的平台,用于威胁搜寻、企业安全监控和日志管理。它包括自己的Alerts、Dashboards、Hunt、PCAP和Cases功能组件以及其他外部工具。 简单来说,它可以看做是一个免费开放的网络安全监控 (NSM) 和企业安全监控 (ESM) 平台。简而言之,NSM 是监视网络中与安全相关的事件。当用于识别漏洞或过期 SSL 证书时,它可能是主动的,也可能是被动的,例如在事件响应和网络取证中。无论您是在跟踪对手还是试图阻止恶意软件,NSM 都能为您的网络提供上下文、
使用安全洋葱分析 Windows 事件日志
Innocence_0的博客
04-06 639
是一个开源平台,汇集了用于威胁搜寻、安全监控和日志管理的各种工具。通过向导安装底层 Linux 和应用程序本身非常简单。
Security Onion安全洋葱-wazuh客户端安装
zjp0591的专栏
05-05 437
则修改/etc/hosts,删除::1 securityonion-cqt。安装key:/var/ossec/bin/manage_agents -i key。下载的agent包:wazuh-agent-3.13.1-1.x86_64.rpm。(4)输入e,再输入agent id,生成agent key。(2)输入A,配置agent的ip和名称。4、被监控服务器上修改配置文件:vi。2、在被监控服务器上安装agent。]:587改为自己的邮件服务配置。5、重启postfix。
Security Onion安全洋葱2.3--安装(PVE环境)
zjp0591的专栏
05-04 725
随着数据和事件消耗的增加,将需要更大的CPU容量。因此,如果有一个完全饱和的1Gbps链路,并且运行Suricata用于NIDS警报,运行Zeek用于元数据,那么需要至少5个Suricata工作线程和5个Zeek工作线程。例如,假设您正在监控平均速率为50 Mbps的链路,下面是一些快速计算:50 Mb/秒= 6.25 MB/秒= 375 MB/分钟= 22,500 MB/小时= 540,000 MB/天。带有本地日志存储和搜索的管理器节点:在企业分布式部署中,管理器节点将存储来自自身和转发节点的日志。
Security Onion安全洋葱-架构说明
zjp0591的专栏
05-04 327
管理节点运行以下组件:Security Onion控制台、Elasticsearch、Logstash、Kibana、Curator、ElastAlert、Redis、Wazuh。接收器节点是“active-active”的,您可以根据需要添加任意多个节点(在合理范围内),事件将在这些节点之间平衡。:管理搜索节点同时是管理器节点和搜索节点。当用户查询管理器节点时,管理器节点接着查询搜索节点,搜索节点返回搜索结果。与我们推荐的专用管理器节点和单独搜索节点的体系结构相比,节点将更低。重节点分布式(不推荐)
securityonion:一些可以在安全洋葱终端上使用的脚本
06-26
安全洋葱 一些可以在安全洋葱终端上使用的脚本。
securityonion-limacharlie:将日志从LimaCharlie发送Security Onion
04-30
保安员-利马查理 将日志从LimaCharlie发送Security Onion 尝试生产之前,请先使用安全洋葱的测试实例进行测试 在注册一个免费帐户。 下载传感器包装,然后按照说明在支持的操作系统上激活传感器。 创建您的检测规则。 添加s3或syslog的输出,选择在检测到时发出警报。 如果使用syslog确保使用TLS发送并指定您的IP,然后指定端口6514,例如: SECURITYONIONIP:6514 。 确保通过安全洋葱(例如,对于系统日志: sudo ufw allow proto tcp from LIMACHARLIE_IP to any port 6514 )和防火墙(例如,如果配置了AWS,则请配置安全组)来允许LimaCharlie日志。 在独立的测试实例上,将s3或syslog文件夹中的文件复制到/etc/logstash/custom ,但secur
Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程
DevonL的博客
04-12 5239
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。 易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队 Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等
Security Onion的部署(超详细)
qq_72583325的博客
08-08 2553
本文介绍了开源入侵检测系统securityonion的部署
家庭网络防御系统搭建-siem之security onion 安装配置过程详解
村中少年的专栏
04-08 1586
介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
qq_53058639的博客
04-13 1073
SecurityOnion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。SecurityOnion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Security onion的安装和配置
热门推荐
zzyandzzzy的博客
11-06 1万+
一、简介 Security onion(以下简称SO)是一个用于网络安全监控的工具。 网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDS和HIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵
2024 年浙江省网络安全行业网络安全运维工程师项目 职业技能竞赛网络安全运维工程师(决赛样题)
最新发布
Aluxian_的博客
09-13 834
作为一名网络安全运维工程师,你发现公司的内部网络出现了异常流量,多个关键应用程序的响应速度显著下降,你需要对网络流量进行深入分析,识别潜在的安全威胁,追踪可疑活动,以确保公司数据的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zjp0591

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值