Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程

这篇具有很好参考价值的文章主要介绍了Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。

易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队
Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等

一、准备服务器环境,当前环境:

1.Centos7.9 32G 8C 300G 两块网卡
2.准备docker镜像加速工具,执行安装拉取镜像不加速会失败,开启加速工具后需要将主机名、127.0.0.1、localhost,排除在外不然会导致无法写入es容器数据,导致容器启动失败。

二、开始安装,首先配置加速器

1.开启加速器,我这里使用的是如下工具,其他需要各位自己解决,进入加速器目录,配置好config.json文件,启动docker镜像加速器。

2.查看加速器端口,配置本地加速环境变量,私网地址和本机主机名无需加速

[root@220-220 v2ray]# netstat -lntup
tcp        0      0 127.0.0.1:10808         0.0.0.0:*               LISTEN      4426/
tcp        0      0 127.0.0.1:10809         0.0.0.0:*               LISTEN      4426/
[root@220-220 v2ray]# vim /etc/profile
 79 no_proxy_192=$(echo 192.168.220.{1..255}|sed 's/ /,/g') #不加速的地址,必须包括本地地址,根据自己要求修改
 80 export no_proxy="220-220,${no_proxy_192}" #不加速生效,包括220-220主机名和以上私网地址
 81 export https_proxy=127.0.0.1:10809 #https通过本地10809加速
 82 export http_proxy=127.0.0.1:10809  #https通过本地10809加速
 

3.git拉取项目

[root@220-220 ~]# git clone https://github.com/Security-Onion-Solutions/securityonion

4.安装security onion

[root@220-220 v2ray]# cd /root/securityonion/
[root@220-220 securityonion]# ./so-setup-network

开源ids,开源,linux,网络安全,nginx选择YES
开源ids,开源,linux,网络安全,nginx选择EVAL
开源ids,开源,linux,网络安全,nginx填写AGREE
开源ids,开源,linux,网络安全,nginx填写主机名
开源ids,开源,linux,网络安全,nginx选择YES
开源ids,开源,linux,网络安全,nginx选择Ok
开源ids,开源,linux,网络安全,nginx
开源ids,开源,linux,网络安全,nginx
开源ids,开源,linux,网络安全,nginx
开源ids,开源,linux,网络安全,nginx
选择流量镜像接口网卡,Ok

开源ids,开源,linux,网络安全,nginx
选择自动更新
开源ids,开源,linux,网络安全,nginx
写入地址
开源ids,开源,linux,网络安全,nginx
选择安装的插件
开源ids,开源,linux,网络安全,nginx
Docker 容器ip保持默认
开源ids,开源,linux,网络安全,nginx填写管理员邮箱地址

开源ids,开源,linux,网络安全,nginx输入两次管理员密码

开源ids,开源,linux,网络安全,nginx
使用IP地访问WEB页面
开源ids,开源,linux,网络安全,nginx
选择YES
开源ids,开源,linux,网络安全,nginx
填写需要访问的地址0.0.0.0/0为所有地址可以访问
开源ids,开源,linux,网络安全,nginx
确认填写的信息
开源ids,开源,linux,网络安全,nginx
等待安装

[root@220-220 ~]# tailf sosetup.log  #查看安装日志

开源ids,开源,linux,网络安全,nginx

[root@220-220 ~]# while sleep 3; do docker images | grep ghcr.io | wc -l;done
5 #查看当前已经pull多少镜像
[root@220-220 ~]# docker images| grep -v 220-220 | wc -l	#共需要下载32个镜像
32
[root@220-220 ~]# docker ps |grep -v ID |wc -l   #共启动30个容器
30
[root@220-224 ~]# so-allow  #开放端口

Choose the role for the IP or Range you would like to allow

[a] - Analyst - 80/tcp, 443/tcp
[b] - Logstash Beat - 5044/tcp
[e] - Elasticsearch REST API - 9200/tcp
[f] - Strelka frontend - 57314/tcp
[o] - Osquery endpoint - 8090/tcp
[s] - Syslog device - 514/tcp/udp
[w] - Wazuh agent - 1514/tcp/udp
[p] - Wazuh API - 55000/tcp
[r] - Wazuh registration service - 1515/tcp

Please enter your selection: a      #a 80/443端口
Enter a single ip address or range to allow (ex: 10.10.10.10 or 10.10.0.0/16): 192.168.28.0/24  #允许访问的地址
Adding 192.168.28.0/24 to the analyst role. This can take a few seconds...

[root@220-220 ~]# so-status	#查看各组件状态

Checking Docker status

    Docker ----------------------------------------------------------------------------------------------------------------- [ OK ]    

Checking container statuses

    so-aptcacherng --------------------------------------------------------------------------------------------------------- [ OK ]    
    so-curator ------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-dockerregistry ------------------------------------------------------------------------------------------------------ [ OK ]    
    so-elastalert ---------------------------------------------------------------------------------------------------------- [ OK ]    
    so-elasticsearch ------------------------------------------------------------------------------------------------------- [ OK ]    
    so-filebeat ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-fleet --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-grafana ------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-idstools ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-influxdb ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-kibana -------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-kratos -------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-mysql --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-nginx --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-playbook ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-redis --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-sensoroni ----------------------------------------------------------------------------------------------------------- [ OK ]    
    so-soc ----------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-soctopus ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-steno --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-backend ----------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-coordinator ------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-filestream -------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-frontend ---------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-gatekeeper -------------------------------------------------------------------------------------------------- [ OK ]    
    so-strelka-manager ----------------------------------------------------------------------------------------------------- [ OK ]    
    so-suricata ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-telegraf ------------------------------------------------------------------------------------------------------------ [ OK ]    
    so-wazuh --------------------------------------------------------------------------------------------------------------- [ OK ]    
    so-zeek ---------------------------------------------------------------------------------------------------------------- [ OK ]

5、页面展示

开源ids,开源,linux,网络安全,nginx登录页面

开源ids,开源,linux,网络安全,nginx

问题记录:在执行安装命令时,安装进程会将的daemon.json管理配置文件会将registry-mirros里面的内容清空,security onion需要推送镜像到本地私有仓库,找不到私有仓库地址会导致docker重启失败,文件如下:

[root@120-221 ~]# cat /etc/docker/daemon.json
{
  "registry-mirrors": [ "https://:5000" ],
  "bip": "172.17.0.1/24",
  "default-address-pools": [
    {
      "base" : "172.17.0.0/24",
      "size" : 24
    }
  ]
}

处理方式:启动安装命令后手动将本地ip地址加入registry-mirros:私有仓库地址,实例如下:

开源ids,开源,linux,网络安全,nginx文章来源地址https://www.toymoban.com/news/detail-518618.html

到了这里,关于Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全防御 --- 入侵检测 --- IDS、IPS

    系统访问控制要针对三类用户 (1) 合法用户 (2) 伪装 --- 攻破[流程控制](超出了合法用户的行为范围) 身份仿冒(可能是最早提出不能仅依赖于身份认证,还要加强行为监控以防范身份仿冒和滥用的学者) (3) 秘密用户 --- 攻破[逻辑控制] --- 后门 (相当于一个摄像头

    2024年02月06日
    浏览(55)
  • Snort入侵检测系统实验

    实验内容 搭建网络防御环境 学习使用检测工具Snort 对网络进行攻击,查看和分析网络防御工具报告 对实验结果进行分析整理,形成结论 安装入侵检测系统 Snort 安装daq依赖程序,输入如下命令: sudo apt-get install flex sudo apt-get install bison sudo apt install aptitude sudo aptitude install l

    2023年04月19日
    浏览(44)
  • 网络安全之入侵检测系统

    入侵 :指一系列试图破坏信息资源 机密性 、 完整性 和 可用性 的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测 :是通过从计算机网络系统中的若干 关键节点 收集信息,并 分析 这些信息,监控网络中是否有违反安全策略的行为或者是

    2024年02月13日
    浏览(50)
  • 车载软件架构 —— 车载软件入侵检测系统

    我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 没有人关注你。也无需有人关注你。你必须承认自己的价值,你不能站在他人的角度来反对自己。人生在世,最怕的就是把别人的眼光当成自

    2024年02月14日
    浏览(48)
  • 网络安全产品之认识入侵检测系统

    随着计算机网络技术的快速发展和网络攻击的不断增多,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。因此,入侵检测系统作为新一代安全保障技术,成为了传统安全防护措施的必要、有效的补充。《安全防御

    2024年01月21日
    浏览(58)
  • 【网络安全】2.2 入侵检测和防御系统

    入侵检测和防御系统(Intrusion Detection and Prevention Systems,简称IDPS)是网络安全的重要组成部分。它们可以帮助我们发现并阻止网络攻击。在本篇文章中,我们将详细介绍IDPS的工作原理,类型,如何配置和使用IDPS,以及如何处理IDPS发现的威胁。 入侵检测和防御系统是一种设

    2024年02月08日
    浏览(48)
  • 【论文阅读】xNIDS:可解释的基于深度学习的网络入侵检测系统的主动入侵响应(USENIX-2023)

      基于深度学习的网络入侵检测系统(DL-NIDS)得到了显著的探索,并显示出卓越的性能,但存在两个问题: 检测结果和可操作的解释之间存在语义差距,不足以对检测到的入侵作出积极的回应 高错误成本使网络运营商不愿意仅仅根据检测结果做出反应(即高误报带来的警

    2024年02月05日
    浏览(54)
  • 【论文阅读】对抗溯源图主机入侵检测系统的模仿攻击(NDSS-2023)

    作者:伊利诺伊大学芝加哥分校-Akul Goyal、Gang Wang、Adam Bates;维克森林大学-Xueyuan Han、 引用:Goyal A, Han X, Wang G, et al. Sometimes, You Aren’t What You Do: Mimicry Attacks against Provenance Graph Host Intrusion Detection Systems[C]//30th Network and Distributed System Security Symposium. 2023. 原文地址:https://www.n

    2024年02月13日
    浏览(45)
  • 三种图神经网络(GGNN GCN GAT)关于入侵检测系统的应用

    消息传递是指在图神经网络(Graph Neural Network,GNN)中,从节点向邻居节点传递信息的过程。这个过程通常被称为“ 消息传递步骤 ”或“信息传播步骤”。 在消息传递步骤中,每个节点将自身的特征和邻居节点的特征合并,并计算出一个新的节点表示,然后将这个新的节点

    2024年02月04日
    浏览(40)
  • 基于Flume+spark+Flask的分布式实时日志分析与入侵检测系统

    完整项目地址:https://download.csdn.net/download/lijunhcn/88463174 简介 LogVision是一个整合了web日志聚合、分发、实时分析、入侵检测、数据存储与可视化的日志分析解决方案。聚合采用Apache Flume,分发采用Apache Kafka,实时处理采用Spark Streaming,入侵检测采用Spark MLlib,数据存储使用H

    2024年01月16日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包