Jest to dystrybucja Linuksa, która koncentruje się na wykrywaniu zagrożeń, monitorowaniu bezpieczeństwa i zarządzaniu logami. Jedną z najbardziej godnych uwagi funkcji Security Onion jest to, że domyślnie zawiera wiele narzędzi, więc nie będziemy musieli niczego instalować ani zbytnio komplikować naszego życia, aby zacząć. Na przykład możesz uzyskać dostęp między innymi do Elasticsearch, Snort, Zeek, Wazuh, Cyberchef i NetworkMiner. Z drugiej strony jest bardzo łatwy do wdrożenia, ponieważ posiada kreator instalacji, który pozwala uruchomić ten pakiet w kilka minut.
Jednym z powodów, dla których Security Onion należy wziąć pod uwagę przy sprawdzaniu sieci i bezpieczeństwa, jest możliwość połączenia wielu najlepszych narzędzi bezpieczeństwa sieci w jedną sieć. paczka ten To nie tylko ułatwia zarządzanie, ale także ułatwia wszystkim organizacjom dostęp do kompletnego rozwiązania. Innymi słowy, kompletne rozwiązanie, które zapewnia, że osoby odpowiedzialne za infrastrukturę i bezpieczeństwo sieci mają pełny obraz.
Ten pakiet zawiera nie tylko narzędzia reagowania, takie jak reagowanie na incydenty lub zabezpieczenia komputerowe w kryminalistyce. Zawiera również narzędzia zapobiegawcze, które pomagają nam zrozumieć, co dzieje się w naszej sieci. Jakie są twoje luki w zabezpieczeniach? skanery podatności które drzwi są niepotrzebnie otwarte i długie itp.
Jednak bardzo ważnym aspektem, który jest wyraźnie odzwierciedlony w jego dokumentacji, jest to, że narzędzie to nie jest magiczne. Nie jest to też narzędzie, które robi wszystko za Ciebie, optymalizacja i automatyzacja procesów sieciowych to niewątpliwie duża zaleta, jednak na zapoznanie się z takimi narzędziami trzeba poświęcić trochę czasu. Wykorzystać jak najwięcej.
Jakie narzędzia zawiera Security Onion?
Porozmawiamy teraz o niektórych programach dostępnych w Security Onion. Niektóre z wbudowanych programów to na przykład netsniff-ng , to narzędzie rejestruje wszystkie informacje związane z aktywnością sieciową. Ponadto dostosowuje się do pojemności Twojej infrastruktury, eliminując bardzo stare dane, aby zaoszczędzić miejsce. Rejestrowanie pakietów jest przydatne do wykrywania luk w zabezpieczeniach i podejrzanych incydentów. Tylko rejestrowanie pakietów może wykryć takie sytuacje, jak wycieki danych, incydenty phishingu, zakłócenia sieci i inne.
Z drugiej strony ma narzędzia do systemów wykrywania i zapobiegania włamaniom, (IDS/IPS). Z jednej strony posiada narzędzia oparte na zasadach Cios itp. Suricata , te dwa narzędzia działają zgodnie z regułami, które pomagają wykrywać włamania w celu późniejszego wykluczenia z zapory. W ten sposób narzędzia wykrywają takie włamania i dopasowują „ślady” Twoich systemów w swoich bazach danych, skutecznie wykrywając wszelkie oznaki nieprawidłowego ruchu sieciowego.
Z drugiej strony posiada narzędzie IDS/IPS oparte na analizach takich jak m.in. Zeek ten Odpowiada za monitorowanie aktywności sieciowej, oprócz zbierania wpisów do logów, zapytań DNS, usług sieciowych i oprogramowania, certyfikatów SSL itp. Podobnie zbiera logi aktywności dla protokołów HTTP, FTP, IRC, SMTP, SSH, SSL i Syslog.
Jedną z zalet tego narzędzia jest możliwość analizowania danych faktograficznych w czasie rzeczywistym. Bardzo ciekawym przykładem wspomnianym w jego dokumentacji jest to, że możesz wprowadzać informacje do Zeeka, które później mogą stać się skryptem, który potrafi czytać pliki. csv (plik rozdzielany przecinkami) zawierające dane pracowników organizacji i są skreślone gazety działalność taki jako zdarzenia pobierania z Internetu, połączenia itp. W ten sposób Zeek staje się pomostem do zasilania innych narzędzi, takich jak antywirus, antymalware, SIEM i inne, dzięki czemu działania przeciwko zagrożeniom bezpieczeństwa są bardziej natychmiastowe i skuteczne.
Kąpiel to kolejne dostępne narzędzie IDS, które ma specjalną zdolność do polegania na hoście. To ostatnie oznacza, że jest zainstalowany terminale czyli na komputerach każdego użytkownika. Dla Twojego spokoju to narzędzie jest kompatybilne z systemami Windows, Linux i Mac OS. Dzięki Wazuh będziesz miał pełny przegląd każdego aktywnego hosta w Twojej sieci. Jest w stanie analizować dziennik zdarzeń dla każdego hosta, a także sprawdzać integralność pliku, monitorować zasady sieciowe i wykrywać rootkity. Jego skuteczność staje się jeszcze bardziej ostrożna dzięki alertom w czasie rzeczywistym i działaniom przeciwko zagrożeniom.
Jak widać, posiadanie tej różnorodności narzędzi IDS / IPS jest ważne, ponieważ pomaga skutecznie identyfikować cyberataki. Dodatkowo możliwe jest poznanie ich dokładnego pochodzenia, wtedy nasza infrastruktura sieciowa jest ulepszana zgodnie z informacjami dostarczanymi przez te narzędzia.
Narzędzia do analizy danych
Jak widać, Security Onion ma wiele zasobów do generowania danych o aktywności sieciowej. Ale co możemy zrobić z tymi danymi? Najlepszym pomysłem jest ich analiza i posiadanie do tego 3 narzędzi.
Sguil
Zapewnia dostęp do wszystkich zebranych danych. Ma bezpośredni link do narzędzi wymienionych powyżej: Snort, Suricata i Wazuh. Jedną ze specjalnych cech Sguil jest to, że działa jako pomost między narzędziami IDS / IPS a narzędziami do rejestrowania pakietów. Bezpośrednia użyteczność tego rozwiązania polega na tym, że skuteczniej identyfikuje problem, co z nim zrobić, kto powinien to zrobić i ewentualnie go eskalować, aby właściwe osoby mogły go rozwiązać we właściwym czasie.
Łatwiej jest mieć interfejs, który promuje współpracę między członkami zespołu IT i/lub bezpieczeństwo informacji. Nie ma nic bardziej wymagającego niż identyfikacja cyberzagrożenia bez znajomości jego przyczyny lub pochodzenia. Administrator, który musi przejść przez wszystko, może nie być pewien, czy zagrożenie jest wewnętrzne, czy zewnętrzne, więc to narzędzie jest bardzo przydatne w tym scenariuszu.
Inne dostępne narzędzia to Squert , Kimbana itp. CapMe ten Prawie każdy ma główny cel analizy dużej ilości danych generowanych przez narzędzia IDS / IPS i narzędzia do rejestrowania pakietów. Oczywiste jest, że nie możesz już spędzać dużo czasu próbując jak najlepiej wykorzystać swoje dane. Jeśli istnieją narzędzia, które mogą to za nas zrobić, nie ma nic lepszego niż zabranie ich ze sobą.
Jak zacząć korzystać z Security Onion?
Pierwszą rzeczą, którą musimy zrobić, jest dostęp Zdalne ładowanie na Github, aby zacząć jak najszybciej. Jednak zdecydowanie zaleca się, aby uzyskać dostęp do tej witryny dokumentacja ten Sekcja Pierwsze kroki jest niezwykle obszerna i oferuje użytkownikowi wiele opcji obsługi cebuli bezpieczeństwa.
Nie masz komputera z dystrybucją Linuksa? Nie ma problemu, dokumentacja tego pakietu obejmuje wirtualizację przy użyciu znanych rozwiązań, takich jak Virtual Box i VMware. W każdym razie zawiera instrukcje dotyczące tworzenia maszyn wirtualnych od podstaw, zwłaszcza do budowania Security Onion i uruchamiania kontroli sieci.
Innym godnym uwagi aspektem jest to, że zapewnia dokumentację Ściągawka (szablon notatki) gdzie możesz mieć swoje najważniejsze zamówienia na pierwszy rzut oka. Na przykład poznasz ogólne polecenia konserwacji. Z drugiej strony w tym samym modelu znajduje się podsumowanie ważnych plików i ścieżka każdego z nich. Jest to niezwykle przydatne, zwłaszcza gdy chcesz zlokalizować logi każdego z narzędzi w tym pakiecie.