家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion

这篇具有很好参考价值的文章主要介绍了家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在前面的文章中安装了zeek,这里,安装了securityonion,这里,本文讲述如何将zeek生成的日志发送到siem security onion之中。

所有日志集成的步骤分为如下几步:

  • 日志收集配置
  • 日志发送接收
  • 日志解析配置
  • 日志展示配置

ZEEK日志收集配置

在之前raspiberry 上安装的zeek日志存在如下目录:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

JSON 格式日志

默认的zeek日志格式为log后缀的文本格式,需要将日志格式改为json格式送往securityonion方便解析。因此需要在/opt/zeek/share/zeek/site/local.zeek添加json格式的解析脚本

#output to json
@load policy/tuning/json-logs.zeek

如下
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
在/opt/zeek/logs/current使用./zeekctl deploy重新启动zeek,即可以得到json格式的 zeek的日志,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
理论上只要将这些日志通过syslog发送给siem即可,但是基于elastic stack的securityonion可以使用elastic agent进行日志的收集和发送,接收日志收集策略,因此采用elastic agent 更加的方便。

elastic agent发送&接收

elastic使用elastic agent在对应的机器上收集日志,使用fleet来管理所有的elastic agent。因此首先在管理端fleet需要设置好对应的agent管理配置,详细参考连接,这里,如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
agent policy指的是收集日志的策略,方便起见这里先选择so-grid_general,虽然该策略无法生效,但是后续会新建一个收集日志的策略。同时选择enroll in fleet模式。
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
将步骤三中的命令拷贝到对应的机器上执行就会下载安装elastic agent,安装,并通过API注册到fleet中,如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

ARM版本的elastic agent

由于是raspiberry 是arm架构的机器,需要使用arm64位的安装包,不能使用默认的linux安装包,8.10版本的arm版本下载见这里,最新arm版本的elastic下载,这里,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
下载8.10.4的原因在于securityonion 2.4.60版本中带的kibana版本为8.10.4,因此只需要更换命令中下载源,其他的安装注册的命令保持不变即可。由于自签证书的问题,因此需要在注册的时候加上–insecure参数,参考链接这里,需要将原有的命令:

curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.10.4-linux-x86_64.tar.gz
tar xzvf elastic-agent-8.10.4-linux-x86_64.tar.gz
cd elastic-agent-8.10.4-linux-x86_64
sudo ./elastic-agent install --url=https://192.168.233.136:8220 --enrollment-token=Z2xIYWJvNEJrd1VWTEF6Vi1LamE6VGRnVnB5WEFRX1dRUkFPSlhTOWllUQ==

更换为

curl -L -O https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.10.4-linux-arm64.tar.gz
tar xzvf elastic-agent-8.10.4-linux-arm64.tar.gz
cd elastic-agent-8.10.4-linux-arm64
sudo ./elastic-agent install --url=https://192.168.0.15:8220 --enrollment-token=Z2xIYWJvNEJrd1VWTEF6Vi1LamE6VGRnVnB5WEFRX1dRUkFPSlhTOWllUQ== --insecure

由于elastic的证书为自签的证书,因此需要加上–insecure参数,不然会提示错误,成功执行如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
这个地方需要注意的是,由于我的securityonion安装是在虚拟机中,因此需要做宿主机和虚拟机的端口映射,一些网络不通的汇总见之前的文章,这里。因此raspiberry在向对应的IP地址注册的时候,首先注册地址应该写宿主机器的IP地址而不是虚拟机的IP地址。除了初始注册连接的端口外,后续elastic agent 还会连接fleet的其他端口,因此在elastic agent 内部如果在IP地址寻址不成功,会使用对securityonion域名解析,因此需要在raspiberry主机上配置该域名解析为宿主机的IP地址,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
同时由于使用elastic agent 向security onion 发起连接,因此需要设置securityonion自带的防火墙,允许对应的请求连接通过,不然会注册不成功,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
设置elastic_agent_point对应的IP地址,允许对应的请求通过,生效时间大概在15分钟。

日志解析配置

上述命令执行成功,在fleet管理端会出现1 agent has been enrolled的标志,如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
可以看到agent名称是按照sensor的主机名来命名的,当前没有配置策略,处于unhealthy状态。

前面提到由于默认的policy中的配置不适合当前的agent,因此需要给当前用于收集zeek日志的agent重新配置policy,创建一个收集zeek日志的policy,采用默认配置即可如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
在当前的policy下,创建解析zeek日志的Integrations,由于目前V2.4.60版本的securityonion集成的kibana版本为V 8.10.4,其中只有130+的特定日志解析功能,不支持zeek日志的解析,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

像zeek等日志解析功能需要在8.12以上版本才能提供,详见这里,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

因此使用自定义的custom logs,由于在我的raspiberry上的zeek日志存储在/opt/zeek/logs/current中,因此配置的路径如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
需要注意的是advance 中的配置如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

其中的内容是复制so-grid-nodes_general中的zeek-logs的内容即可,只要把对应的路径改为当前raspiberry上的zeek路径即可。这样做的目的是借助security onion内置的脚本解析zeek的json日志,即把每一行json日志解析成为一个个field。如果不配置processors的话,zeek json只会被按行读取在message字段展示,不会做解析。关于processor的脚本解释,参考这里。

新创建Network-logs的policy之后,需要修改raspiberry的policy,保存生效即可,如下图:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

日志展示配置

参考链接https://docs.securityonion.net/en/2.4/zeek.html#community-id

默认elastic agent会每隔5分钟检查current目录会不会有文件的变化,如果有的话便会上传日志。可以在fleet中查看对应agent 的日志记录,查看日志传输有没有问题,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
在security onion的dashboads中按照oberver.name进行过滤,查看raspiberry agent上传上来的日志,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet
可以看到之前配置的processors起用了,其中message为zeek日志中conn.log中的一行,可以看到通过前图的processors设置,使用内置的脚本,会将每一行的日志进行解析,解析到destination.ip,destination.port以及log.id.uid中,如果之前没有配置processors,每条记录是没有message详细的字段内容的,如下:
家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion,家庭网络防御系统搭建,securityonion,security onion,zeek,elastic agent,elastic,fleet

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。文章来源地址https://www.toymoban.com/news/detail-852577.html

到了这里,关于家庭网络防御系统搭建-将NDR系统的zeek日志集成到security onion的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [网络安全]-109 理解EDR、NDR、 TDR、 XDR和MDR之间的区别

    即 “D” 表示检测,“R” 表示响应。 在网络安全市场的早期,防病毒软件占统治地位,方法非常简单。只要潜在威胁与已知威胁的签名或特征相匹配,它就会被终止或阻止执行。这种方法在一段时间内运行良好,但一旦威胁情况开始变化,这种方法就过时了。首先,恶意软

    2024年02月21日
    浏览(33)
  • Elasticsearch基本操作+集成SpringBoot+ELK日志平台搭建

    Elasticsearch是一种开源的搜索和分析引擎,最初由开源搜索引擎Lucene的作者于2010年创建。它提供了一个可伸缩、高性能的搜索和数据分析平台,可用于多种用途,包括 文本搜索、应用程序性能监控、业务分析、日志聚合 等。 Elasticsearch使用分布式架构,可以处理大量数据并实

    2024年02月06日
    浏览(62)
  • NAS系统折腾记 – Emby搭建家庭多媒体服务器

    Emby是一款优秀的媒体服务器软件,致力于为用户提供丰富的多媒体体验。通过Emby,您可以方便地在家庭内的各种设备上观看您喜爱的电影、电视剧和其他视频内容。而且,Emby还具备强大的媒体管理功能,让您的影视资源井然有序,随时随地畅享观影乐趣。本文介绍了在Syn

    2024年02月19日
    浏览(39)
  • 网络威胁防御+资产测绘系统-Golang开发

    网络威胁防御+资产测绘系统-Golang开发 项目地址:https://github.com/jumppppp/NIPS-Plus NIPS-Plus 是一款使用golang语言开发的网络威胁防御系统(内置资产测绘系统) 网络威胁流量视图 网络威胁详细信息浏览列表 网络威胁反制探测攻击IP功能 基于规则的威胁浏览检测功能 系统运行详情

    2024年02月09日
    浏览(45)
  • 网络安全产品之认识入侵防御系统

    由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。

    2024年01月22日
    浏览(41)
  • 入侵防御系统(IPS)网络安全设备介绍

    IPS定义 IPS(Intrusion Prevention System)是一种网络安全设备或系统,用于监视、检测和阻止网络上的入侵尝试和恶意活动。它是网络安全架构中的重要组成部分,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为

    2024年02月08日
    浏览(41)
  • 入侵防御系统IPS,网络设计的5大原则

    互联网高速发展,使我们面临的网络安全威胁也日益严重。网络复杂度越来越高,漏洞不断涌现。黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥,机密数据被盗窃,重要数据被篡改、破坏,遭受了严重的经济损失。    社交网络,在线视频,微博等,使得互联网用户

    2024年02月02日
    浏览(38)
  • 【网络安全】2.2 入侵检测和防御系统

    入侵检测和防御系统(Intrusion Detection and Prevention Systems,简称IDPS)是网络安全的重要组成部分。它们可以帮助我们发现并阻止网络攻击。在本篇文章中,我们将详细介绍IDPS的工作原理,类型,如何配置和使用IDPS,以及如何处理IDPS发现的威胁。 入侵检测和防御系统是一种设

    2024年02月08日
    浏览(42)
  • SpringBoot集成slf4j日志系统

    作者平台: | CSDN:blog.csdn.net/qq_4115394… | 掘金:juejin.cn/user/651387… | 知乎:www.zhihu.com/people/1024… | GitHub:github.com/JiangXia-10… | 微信公众号:1024笔记 本文大约4777字,预计阅读时长11分钟 日志系统作为一个应用系统的重要部分之一,它能够有助于我们在系统在线上环境中如果

    2023年04月19日
    浏览(39)
  • 【Microsoft Azure 的1024种玩法】二十八. 基于Azure Cloud搭建IPS入侵防御系统实现安全流量实时分析

    Snort 是一个开源入侵防御系统(IPS),Snort IPS 使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报,Snort 也可以在线部署来阻止这些数据包。Snort有三个主要用途。作为一个像tcpdump一样的数据包嗅探器,作为一个数据包记录

    2024年02月04日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包