开源安全态势感知平台Security Onion

简介

Security Onion是一款由安全防御人员为安全防御人员构建的免费开放平台。它包括网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理等功能。详细信息可以查看官网Security Onion Solutions

在网络可见性方面,Security Onion提供了基于签名的检测(通过Suricata)、使用Zeek或Suricata进行的丰富协议元数据和文件提取、使用Stenographer或Suricata进行的全包捕获,以及文件分析。

在主机可见性方面,它提供了Elastic Agent,该工具可实现数据收集、通过osquery进行的实时查询,以及使用Elastic Fleet进行的集中管理。此外,还可以将基于OpenCanary的入侵检测蜜罐添加到部署中,以获得更多企业级可见性。

部署架构

部署Security Onion,首先你需要决定你想要哪种类型的部署。可以是个人笔记本电脑上的小型虚拟机中临时导入安装,也可以是由管理节点、多个搜索节点和大量转发节点组成的大型可扩展企业部署的安装方式。

import

最简单的架构。import是一个独立的盒子,它仅运行足够的组件以便能够通过Grid页面导入pcap或evtx文件。它不支持添加Elastic代理或其他Security Onion节点。

Evaluation

evaluation评估架构,它比import架构稍微复杂一些,因为它有一个网络接口专门用于从TAP或SPAN端口嗅探实时流量。进程会监控该嗅探接口上的流量并生成日志。Elastic Agent收集这些日志并直接发送到Elasticsearch,在那里它们被解析并索引。评估模式旨在快速安装,以便临时测试Security Onion。它完全不适用于生产环境,也不支持添加Elastic代理或其他Security Onion节点。

Standalone

standalone独立架构与evaluation评估架构类似,所有组件都运行在同一个盒子上。然而,与Elastic Agent直接将日志发送到Elasticsearch不同,在独立架构中,Elastic Agent将日志发送到Logstash,Logstash再将日志发送到Redis进行排队。第二个Logstash管道从Redis中提取日志,并将它们发送到Elasticsearch,在那里日志被解析并索引。

这种部署类型通常用于测试、实验室、概念验证(POCs)或吞吐量非常低的环境。与分布式部署相比,它的可扩展性较差。

Desktop

desktop安装程序包括一个Security Onion桌面选项,用于构建一个简单的桌面环境。这个环境包括一个网页浏览器,允许您登录到现有的Security Onion部署。此外,它还包含一些分析实用工具,如Wireshark和NetworkMiner。

Distributed

标准的分布式部署包括一个管理节点、一个或多个运行网络传感器组件的前端节点,以及一个或多个运行Elastic搜索组件的搜索节点。这种架构可能在前期成本较高,但它提供了更高的可扩展性和性能,因为您可以简单地添加更多节点来处理更多的流量或日志源。

如果安装了专用的管理节点,则还必须部署一个或多个搜索节点。否则,所有日志都将在管理节点上排队,而没有存储的地方。如果在可部署的节点数量上有限制,可以安装一个管理搜索节点,以便管理节点可以作为搜索节点并存储这些日志。但是,请注意,与管理节点和单独的搜索节点组成的推荐架构相比,管理搜索节点的整体性能和可扩展性将较低。

安装security onion

可以通过官网下载对应的系统镜像,然后根据自己的需求安装在虚拟机上或者物理服务器上。我这里先安装在虚拟机上,后期会直接安装在物理服务器上。

直接俄选择安装
输入yes,然后继续输入用户名密码继续进行下一步,等待安装完成,并重启
安装完成重启,登录后继续初始化安装
标准安装

 

选择安装模式,我这里选择standalone
输入AGREE,然后继续
我们这里提供联网模式
设置主机名
描述信息

 

设置管理接口,最少需要两个接口,一个是管理接口,一个是接收流量的接口
管理接口IP地址,我这里先设置dhcp,也可以设置静态ip地址,一般是设置静态IP地址

设置联网方式,这里可以根据自己的需求进行选择
是否修改dockers的ip网段,我这里不修改
选择监控流量的接口
设置邮箱地址和密码,这个将用于后面web登录的账号
设置连接的方式是通过IP地址

 

设置web登录接口允许的连接网段

确认信息后初始化安装
通过前面的邮箱账号和密码登录
此时已经成功进入

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/382000.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一文了解LLM大模型会话 QA 增强

概述 在日常对话中,由于我们的大脑记录了对话的历史信息,为了减少冗余的内容,在进行回复时通常会存在指代和省略的情况。因为人脑具有记忆的能力,能够很好地重建对话历史的重要信息,自动补全或者替换对方当前轮的回复…

创建最佳实践创建 XML 站点地图--SEO

您是否正在努力让您的网站被搜索引擎索引?您想提高您网站的搜索引擎知名度吗?如果是,您可能会错过 XML 站点地图的重要性。XML 站点地图在改善您网站的 SEO 方面发挥着至关重要的作用。‍ XML 站点地图是您网站结构的蓝图,可帮助…

详解Stable Diffusion 原理图

参考英文文献:The Illustrated Stable Diffusion – Jay Alammar – Visualizing machine learning one concept at a time. 在这个Stable Diffusion模型的架构图中,VAE(变分自编码器)模型对应的是图中的 E 和 D 部分。 具体来说…

【深入理解SpringCloud微服务】深入理解Eureka核心原理

深入理解Eureka核心原理 Eureka整体设计Eureka服务端启动Eureka三级缓存Eureka客户端启动 Eureka整体设计 Eureka是一个经典的注册中心,通过http接收客户端的服务发现和服务注册请求,使用内存注册表保存客户端注册上来的实例信息。 Eureka服务端接收的…

JS 鼠标拖动实现移动滚动条的滚动效果

效果 现在很多场景都以移动端为基本开发,比如说需要隐藏滚动条,在pc上实现鼠标拖动和手机触摸拖动差不多的效果。 实现 以mdn的overflow属性中范例为基础,内容溢出时候可使用overflow: auto;和overflow: scroll;实现滚动效果。 要实现鼠标…

聚焦智慧出行,TDengine 与路特斯科技再度携手

在全球汽车行业向电动化和智能化转型的过程中,智能驾驶技术正迅速成为行业的焦点。随着消费者对出行效率、安全性和便利性的需求不断提升,汽车制造商们需要在全球范围内实现低延迟、高质量的数据传输和处理,以提升用户体验。在此背景下&#…

java用freemarker导出word

freemarker导出word 第一步、将word转换为xml格式第二步、将转换后的xml文件修改后缀为ftl后复制到项目 resources 目录下(可以自己新建一个文件夹放在文件夹中)第三步、格式化xml代码(如果问价太大可能会无法格式化)这时候需要在…

Windows上让Qt支持https请求

一.前言 Qt默认其实支持https的,但需要openssl的支持。所以有时候你代码中写了支持https的请求连接,发现程序可以运行,但到了https请求时会报错,如下: 这就是没有openssl的支持,导致QSslSocket无法进行ht…

从理论到实践:如何用 TDengine 打造完美数据模型​

在用 TDengine 进行数据建模之前,我们需要回答两个关键问题:建模的目标用户是谁?他们的具体需求是什么?在一个典型的时序数据管理方案中,数据采集和数据应用是两个主要环节。如下图所示: 对于数据采集工程师…

浅谈断言之XML断言

浅谈断言之XML断言 XML断言是JMeter的一个组件,用于验证请求的响应数据是否符合XML结构。这对于测试返回XML格式数据的Web服务特别有用。 如何添加XML断言? 要在JMeter测试计划中添加XML断言,遵循以下步骤: 打开测试计划&…

适用于 Mac 或 MacBook 的最佳数据恢复软件

Apple 设计的电脑可靠且用户友好,但即使是最好的最新款 MacBook硬件也会出现故障。当您的存储出现问题时,数据恢复软件可以帮助您恢复丢失和损坏的文件。 数据丢失的另一个原因是有时会发生令人尴尬的错误。如果您不小心丢弃了所需的文件,然…

Web前端:HTML篇(二)元素属性

HTML 属性 属性是 HTML 元素提供的附加信息。 HTML 元素可以设置属性属性可以在元素中添加附加信息属性一般描述于开始标签属性总是以名称/值对的形式出现&#xff0c;比如&#xff1a;name"value"。 属性实例 HTML 链接由 <a> 标签定义。链接的地址在 href …

【启明智显分享】甲醛检测仪HMI方案:ESP32-S3方案4.3寸触摸串口屏,RS485、WIFI/蓝牙可选

今年&#xff0c;“串串房”一词频繁引发广大网友关注。“串串房”&#xff0c;也被称为“陷阱房”“贩子房”——炒房客以低价收购旧房子或者毛坯房&#xff0c;用极度节省成本的方式对房子进行装修&#xff0c;之后作为精修房高价租售&#xff0c;因甲醛等有害物质含量极高&a…

恐怖数字暗影:猜中才能逃离

大家可以看看这个&#xff0c;也很有意思&#xff01; 猜数字游戏&#xff08;老六版&#xff09;-CSDN博客 1、 剧情介绍 在一个阴暗潮湿的古堡中&#xff0c;你独自一人走进了一间散发着诡异气息的房间。房间的正中央有一张古老的桌子&#xff0c;上面放着一本泛黄的羊皮卷…

【详细的springboot自动装载原理】

1.默认提供的核心配置模块 springboot提供了 spring-boot-autoconfigure模块&#xff0c;该模块为springboot自动配置的核心模块&#xff0c;它初始化好了很多我们平时需要的配置类&#xff0c;那么有了这些配置类就能生效了吗&#xff1f;得需要一个东西在启动的时候去把它加…

【Langchain大语言模型开发教程】记忆

&#x1f517; LangChain for LLM Application Development - DeepLearning.AI 学习目标 1、Langchain的历史记忆 ConversationBufferMemory 2、基于窗口限制的临时记忆 ConversationBufferWindowMemory 3、基于Token数量的临时记忆 ConversationTokenBufferMemory 4、基于历史…

KMeans等其他聚类算法

KMeans算法是一种经典的聚类方法&#xff0c;最早由Stuart Lloyd在1957年提出&#xff0c;并在1982年由J. MacQueen推广和普及。虽然KMeans已经有几十年的历史&#xff0c;但它依然是数据挖掘和机器学习领域中最常用的聚类算法之一。 数学原理 KMeans算法的目标是将数据集分成…

vue3前端开发-小兔鲜项目-产品详情基础数据渲染

vue3前端开发-小兔鲜项目-产品详情基础数据渲染&#xff01;这一次内容比较多&#xff0c;我们分开写。第一步先完成详情页面的基础数据的渲染。然后再去做一下右侧的热门产品的列表内容。 第一步&#xff0c;还是老规矩&#xff0c;先准备好接口函数。方便我们的页面组件拿到对…

亚信安全终端一体化解决方案入选应用创新典型案例

近日&#xff0c;由工业和信息化部信息中心主办的2024信息技术应用创新发展大会暨解决方案应用推广大会成功落幕&#xff0c;会上集中发布了一系列技术水平先进、应用效果突出、产业带动性强的信息技术创新工作成果。其中&#xff0c;亚信安全“终端一体化安全运营解决方案”在…

Aigtek:电压放大器的选型方法有哪些

电压放大器是电子电路中常见的元件&#xff0c;用于将输入电压信号放大到所需的水平。在选择适合特定应用的电压放大器时&#xff0c;需要考虑多个因素&#xff0c;包括性能要求、电源电压、带宽、噪声等。下面安泰电子将详细介绍电压放大器的选型方法&#xff0c;以帮助工程师…