Security Onion-用于入侵检测，网络安全监控和日志管理的Linux发行版

本文章节较长，建议仔细阅读，如时间不允许，可以收藏日后再看。

Security Onion是用于入侵检测，网络安全监控和日志管理的Linux发行版。它基于Ubuntu，包含Snort，Suricata，Bro，OSSEC，Sguil，Squert，ELSA，Xplico，NetworkMiner和许多其他安全工具。易于使用的安装向导允许您在几分钟内为您的企业构建大量分布式传感器。

它不是一个可以设置，离开并感到安全的银弹。什么都没有，如果这就是你要找的东西，你永远找不到它。Security Onion将提供有关警报和异常事件的网络流量和上下文的可见性，但它需要您的管理员或分析师承诺审查警报，监控网络活动，最重要的是，有意愿，热情和愿望学习。

核心组件：

Security Onion将三个核心功能无缝融合在一起：

·完整数据包捕获;

·基于网络和基于主机的入侵检测系统（分别为NIDS和HIDS）;

·和强大的分析工具。

全包捕获通过netsniff-ng，“数据包嗅探野兽”完成。netsniff-ng捕获您的安全洋葱传感器看到并存储的所有流量，就像您的存储解决方案将容纳的一样（Security Onion具有内置机制，可在磁盘填满容量之前清除旧数据）。完整的数据包捕获就像是一个适合您网络的摄像机，但更好的是因为它不仅可以告诉我们来往的人，还可以告诉我们他们去了哪里以及他们携带或带走了什么（利用有效载荷，网络钓鱼电子邮件，文件泄漏）。这是一个犯罪现场记录器，可以告诉我们很多关于受害者和当地受感染主机的白色粉笔轮廓。在受害者的身上肯定有有价值的证据，但主人的证据可能被摧毁或操纵; 相机不骗，

基于网络和基于主机的入侵检测系统（IDS）分别分析网络流量或主机系统，并为检测到的事件和活动提供日志和警报数据。SecurityOnion提供多种IDS选项：

NIDS：

·规则驱动的NIDS。

对于规则驱动的网络入侵检测，Security Onion提供Snort的选择。基于规则的系统会查看网络流量，以查找与已知恶意，异常或其他可疑流量相匹配的指纹和标识符。您可能会说它们类似于网络的防病毒签名，但它们比这更加深入和灵活。

·分析驱动的NIDS。

对于分析驱动的网络入侵检测，Security Onion提供了Bro Network Security Monitor，也称为Bro IDS。Bro由加州大学伯克利分校的国际计算机科学研究所开发和维护，并得到国家科学基金会的资助。与在大海捞针数据中寻找针头的基于规则的系统不同，Bro说，“这是你的所有数据，这就是我所见过的。你可以做什么，这是一个框架所以你可以。“兄弟监控网络活动并记录任何连接，DNS请求，检测到的网络服务和软件，SSL证书，HTTP，FTP，IRC SMTP，SSH，SSL和Syslog它所看到的活动，提供对网络上数据和事件上下文的真实深度和可见性。另外，Bro包含许多常见协议的分析器，默认情况下，能够根据Team Cymru的恶意软件哈希注册表项目检查HTTP文件下载的MD5总和。除了记录活动和流量分析器之外，Bro框架还提供了一种非常可扩展的方式来实时分析网络数据。最近与REN-ISAC集体智能框架的集成提供了网络活动与最新社区智能源的实时关联，以便在用户访问已知恶意时发出警报IP，域或URL。输入框架允许您将数据提供给Bro，可以编写脚本，例如，读取C级员工用户名的逗号分隔文件，并将其与其他活动相关联，例如，当他们从Internet下载可执行文件时。文件分析框架提供独立于协议的文件分析，允许您在文件通过网络时捕获文件，并自动将文件传递到沙箱或文件共享以进行防病毒扫描。Bro的灵活性使其成为你防御中非常强大的盟友。

HIDS：

·对于基于主机的入侵检测，Security Onion提供OSSEC，这是一个面向Windows，Linux和Mac OSX的免费开源HIDS。当您将OSSEC代理添加到网络上的端点时，您可以从端点到网络的出口点获得宝贵的可见性。OSSEC执行日志分析，文件完整性检查，策略监控，rootkit检测，实时警报和主动响应。Trend-Micro最初由Daniel Cid创建，于2009年收购OSSEC，并继续作为开源解决方案提供。作为分析师，能够将基于主机的事件与基于网络的事件相关联可能是识别成功攻击的不同之处。

分析工具：

通过完整的数据包捕获，IDS日志和Bro数据，分析师可以轻松获得令人畏惧的数据量。幸运的是，Security Onion集成了以下工具来帮助理解这些数据：

·Sguil由Bamm Visscher（@bammv）创建，是“网络安全监控的分析师控制台”。它是分析师的右手，可以查看正在收集的事件数据和用于验证检测的上下文。Sguil提供单个GUI（用tcl /tk编写），用于查看Snort或Suricata警报，OSSEC警报，Bro HTTP事件和被动实时资产检测系统（PRADS）警报。更重要的是，Sguil允许您直接从警报“转移”到数据包捕获（通过Wireshark或NetworkMiner）或触发警报的完整会话的记录。因此，不是只看到与警报相关联的单个数据包而是留下无法回答的问题，“现在怎么办？”或“接下来发生了什么？”您可以查看所有相关的流量并实际回答该问题。此外，Sguil允许分析师查询捕获的所有数据包，而不仅仅是那些涉及警报的数据包，因此您可以关联可能未触发任何警报但仍可能与恶意或不需要的活动相关联的流量。最后，Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于，它允许分析师之间的协作，允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具，可以提供给定警报的最大上下文。不仅仅是那些涉及警报的人，因此您可以关联可能未触发任何警报但仍可能与恶意或不受欢迎的活动相关联的流量。最后，Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于，它允许分析师之间的协作，允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具，可以提供给定警报的最大上下文。不仅仅是那些涉及警报的人，因此您可以关联可能未触发任何警报但仍可能与恶意或不受欢迎的活动相关联的流量。最后，Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。Sguil与其他警报界面的不同之处在于，它允许分析师之间的协作，允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具，可以提供给定警报的最大上下文。Sguil与其他警报界面的不同之处在于，它允许分析师之间的协作，允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具，可以提供给定警报的最大上下文。Sguil与其他警报界面的不同之处在于，它允许分析师之间的协作，允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具，可以提供给定警报的最大上下文。

·企业日志搜索和存档由Martin Holste（@mcholste）创建的是“基于Syslog-NG，MySQL和基于Syslog-NG的集中式系统日志框架”。狮身人面像全文搜索。它提供了一个完全异步的基于Web的查询界面，可以对日志进行规范化，并使搜索数十亿个任意字符串变得像搜索Web一样简单快捷。它还包括用于分配查看日志以及基于电子邮件的警报，计划查询和图形的权限的工具。“简单地说，ELSA是一个强大的搜索工具，可以让您毫不费力地梳理安全收集的大部分数据。洋葱以及您转发给它的任何其他系统日志源，使您可以查看可以发送给ELSA的任何相关系统日志数据。另外，ELSA通过Google Visualization API提供功能强大的图表和图形仪表板。如果没有看到它的行动就很难理解ELSA的力量（你可以做到这一点）。

部署方案：

Security Onion构建于分布式客户端 - 服务器模型之上。安全洋葱“传感器”是客户端，安全洋葱“服务器”就是服务器。服务器和传感器组件可以在单个物理机器或虚拟机上运行，或者多个传感器可以分布在整个基础架构中并配置为向指定的服务器报告。分析人员从客户端工作站（通常是Security Onion虚拟机安装）连接到服务器以执行查询和检索数据。

以下是三个Security Onion部署方案：

·独立：

独立安装由运行服务器和传感器组件以及相关进程的单个物理或虚拟机组成。独立安装可以有多个网络接口监视不同的网段。独立安装是监控可从单个位置访问的网络的最简单且最方便的方法。

·服务器传感器：

服务器传感器安装包括运行服务器组件的单个机器，其中一个或多个单独的机器运行传感器组件并向服务器报告。传感器运行所有嗅探过程并存储Sguil和ELSA的相关数据包捕获，IDS警报和数据库。分析人员从单独的客户端计算机连接到服务器，并且发送到服务器的所有查询都被分发到适当的传感器，所请求的信息被定向回客户端。此模型通过将大量收集的数据保留在传感器上，直到分析师的客户端请求为止，从而减少了网络流量。服务器和传感器之间的所有流量都已加密，客户端和服务器之间的所有流量都已加密。

·混合：

混合安装由独立安装组成，该安装还具有一个或多个单独的传感器，这些传感器向独立机器的服务器组件报告。

Security Onion安装脚本允许您轻松配置最佳安装方案以满足您的需求。

本文仅作技术分享 切勿用于非法途径

如果您对文中的软件或者技术感兴趣