家庭网络防御系统搭建-siem之security onion 安装配置过程详解

这篇具有很好参考价值的文章主要介绍了家庭网络防御系统搭建-siem之security onion 安装配置过程详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。

充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如suricata,zeek,蜜罐)以及终端侧的告警(sysmon,elastic)的等告警,同时针对安全业务集成了很多安全相关实用的功能,包括威胁狩猎功能,attack矩阵的集成,以及case的管理功能。这样就省去了新手大量的集成和配置工作,当然对用户灵活性要求比较高的同学,可以从elastic以及splunk等原生的数据处理平台一点点集成。

SO下载

建议下载最新版本,我安装时最新的版本为security onion2.4.60,这里。由于技术的迭代,主要之前的2.3版本是基于centos系统,而centos已经停止维护,因此之前的security onion老版本已经停止维护,新版本是基于oracle Linux 9.3版本,如下图:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek

软件安装

由于security onion本质上是一个linux系统,因此可以安装在虚拟机上,也可以直接安装在主机上。新手比较建议安装在独立的机器上,可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本,该版本能够满足家庭网络的绝大多数的需求,在VM虚拟机配置这块,需要分配100G以上的内存,CPU为4核,8G以上的内存,这点配置需要注意。在虚拟机上安装,中间遇到任何问题,可以关机,重新开始。
如下是security onion各种类型的的最低配置要求:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
我安装的standalone版本的配置如下,最重要的是需要两张网卡,如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
默认会选择安装第一项,即2.4.60的生产版本。然后进入如下安装界面,yes继续之后,输入用户名和密码,这边的用户名和密码可以按需设置,对于等级要求比较高的,建议使用随机的密码。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
接下来会进入一段自动化的安装配置流程,主要是安装linux系统相关以及软件本身以来的环境内容,所以这块需要等待大概10分钟左右,如下:

家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek

家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
然后按enter键重新启动之后进入security onion 上层软件相关的配置部分,如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
关于不同类型的区别,见这里,初学者建议使用standalone版本。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
主机名建议设置一个有意义的名称,因为如果有防火墙等管理系统,这样可以通过主机名进行识别。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
选择对应的网卡,作为SOC管理端(webUI访问地址)连接的网卡:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
这个时候可以配置静态的IP地址,也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户,建议使用DHCP动态分配IP地址,因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的,如下如图。对于新手来说,使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题,例如安装期间会访问互联网。等到安装成功之后,在更改对应的IP为静态IP地址,每次可以很方便通过SSH登录进行查看。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
没有配置代理,使用默认即可,如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
由于securityonion安装了很多的docker服务,这块docker的IP使用默认即可
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
空格选中对应的网卡作为监控接口,因为Security onion具备监控流量的功能,选择该网卡作为流量监控之用,然后继续
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
因为security onion会需要以邮件形式发送一些告警报告的通知,输入邮箱继续:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
由于web界面使用的是邮箱登录,因此为邮箱账户设置对应的密码
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
使用默认IP访问web页面即可,更具后面的经验,其实使用hostname更加的方便。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
允许通过web安装更新
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
那些IP可以访问security onion,我这里设置的是0.0.0.0/0,表示所有的IP均可以访问,在实际生产环境中可能需要进行限制。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
检查一下配置如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
进入一段漫长的安装等待,大约一个小时,期间会访问网络下载文件,因此前面设置成为DHCP很重要,基本不用担心网络联通的问题。最后成功安装的截图如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
如果安装过程提示有错误,到/root/errors.log查看原因,例如我是yara组件没有下载成功,有可能是网络原因,因此重新执行该命令即可。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek

SO web 界面

安装成功之后,访问web页面如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
检查所有的服务是否运行正常,如下:
家庭网络防御系统搭建-siem之security onion 安装配置过程详解,家庭网络防御系统搭建,securityonion,security onion,SIEM,zeek
以上就是security onion安装的过程,后续将介绍security onion和其他sensor日志的集成。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。文章来源地址https://www.toymoban.com/news/detail-850701.html

到了这里,关于家庭网络防御系统搭建-siem之security onion 安装配置过程详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安装jellyfin搭建家庭影音库

    Jellyfin是一个自由软件媒体系统(官方网址: https://jellyfin.org/),可让您控制媒体的管理和流媒体。它可以从您自己的服务器流式传输到任何设备,没有任何附加条件,致力于让所有用户都能访问最好的媒体系统。 按照VMware提示一步步往下走,建议主机网络选择为桥接模式,

    2024年02月04日
    浏览(51)
  • 从零开始搭建家庭网络:软路由实战经验分享(一)

    最近入门了软路由,研究了半个月,一步一步从网络小白到最后自己搭建了家庭局域网络,现在给大家分享一下我搭建软路由的经验。 既然有软路由,那么相对的肯定有硬路由:目前我们网上买到的路由器,就是硬路由,这种从一开始就是 按照路由器设计规范设计出来的硬

    2024年02月02日
    浏览(55)
  • 未实施安全信息和事件管理(SIEM)系统:未部署SIEM系统来综合分析安全日志和事件

    随着网络攻击手段的日益复杂化和智能化, 对于企业和组织的安全防护提出了更高的要求。在这种情况下,安全信息与事件管理 (SIEM) 系统成为了一个越来越受欢迎的安全防护方案。然而在实际情况下,许多组织仍然没有实施 SIEM 系统来分析他们的安全日志和事件数据。这无疑

    2024年01月25日
    浏览(59)
  • NAS系统折腾记 – Emby搭建家庭多媒体服务器

    Emby是一款优秀的媒体服务器软件,致力于为用户提供丰富的多媒体体验。通过Emby,您可以方便地在家庭内的各种设备上观看您喜爱的电影、电视剧和其他视频内容。而且,Emby还具备强大的媒体管理功能,让您的影视资源井然有序,随时随地畅享观影乐趣。本文介绍了在Syn

    2024年02月19日
    浏览(39)
  • LangChain 35: 安全最佳实践深度防御Security

    LangChain系列文章 LangChain 实现给动物取名字, LangChain 2模块化prompt template并用streamlit生成网站 实现给动物取名字 LangChain 3使用Agent访问Wikipedia和llm-math计算狗的平均年龄 LangChain 4用向量数据库Faiss存储,读取YouTube的视频文本搜索Indexes for information retrieve LangChain 5易速鲜花内部问

    2024年02月04日
    浏览(34)
  • 网络威胁防御+资产测绘系统-Golang开发

    网络威胁防御+资产测绘系统-Golang开发 项目地址:https://github.com/jumppppp/NIPS-Plus NIPS-Plus 是一款使用golang语言开发的网络威胁防御系统(内置资产测绘系统) 网络威胁流量视图 网络威胁详细信息浏览列表 网络威胁反制探测攻击IP功能 基于规则的威胁浏览检测功能 系统运行详情

    2024年02月09日
    浏览(46)
  • 网络安全产品之认识入侵防御系统

    由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。

    2024年01月22日
    浏览(41)
  • 入侵防御系统(IPS)网络安全设备介绍

    IPS定义 IPS(Intrusion Prevention System)是一种网络安全设备或系统,用于监视、检测和阻止网络上的入侵尝试和恶意活动。它是网络安全架构中的重要组成部分,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为

    2024年02月08日
    浏览(42)
  • 【Monero】Onion Monero Blockchain Explorer | unbuntu搭建访问 门罗币区块链浏览器

    区块链浏览器概述:【Blockchain】区块链浏览器 github:onion-monero-blockchain-explorer Onion Monero Blockchain Explorer特点: • 没有cookie,没有网络分析跟踪器,没有image, • 开源, • 完全用C++编写, • 显示加密的付款 ID, • 显示环签名, • 显示交易额外字段, • 显示门罗币地址的

    2024年04月12日
    浏览(35)
  • MaxPatrol 10 (MaxPatrol SIEM, MaxPatrol VM) - 安全信息和事件管理 (SIEM), 下一代漏洞管理系统

    MaxPatrol 10 (MaxPatrol SIEM, MaxPatrol VM) - 安全信息和事件管理 (SIEM), 下一代漏洞管理系统 Positive Technologies MaxPatrol 10 v26.0 for Debian 10 请访问原文链接:https://sysin.org/blog/pt-maxpatrol/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org Positive Technologies Positive Technologies MaxPa

    2024年02月21日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包