家庭网络防御系统搭建-siem之security onion 安装配置过程详解

本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。

充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如suricata,zeek,蜜罐)以及终端侧的告警(sysmon,elastic)的等告警,同时针对安全业务集成了很多安全相关实用的功能,包括威胁狩猎功能,attack矩阵的集成,以及case的管理功能。这样就省去了新手大量的集成和配置工作,当然对用户灵活性要求比较高的同学,可以从elastic以及splunk等原生的数据处理平台一点点集成。

SO下载

建议下载最新版本,我安装时最新的版本为security onion2.4.60,这里。由于技术的迭代,主要之前的2.3版本是基于centos系统,而centos已经停止维护,因此之前的security onion老版本已经停止维护,新版本是基于oracle Linux 9.3版本,如下图:
在这里插入图片描述

软件安装

由于security onion本质上是一个linux系统,因此可以安装在虚拟机上,也可以直接安装在主机上。新手比较建议安装在独立的机器上,可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本,该版本能够满足家庭网络的绝大多数的需求,在VM虚拟机配置这块,需要分配100G以上的内存,CPU为4核,8G以上的内存,这点配置需要注意。在虚拟机上安装,中间遇到任何问题,可以关机,重新开始。
如下是security onion各种类型的的最低配置要求:
在这里插入图片描述
我安装的standalone版本的配置如下,最重要的是需要两张网卡,如下:
在这里插入图片描述
默认会选择安装第一项,即2.4.60的生产版本。然后进入如下安装界面,yes继续之后,输入用户名和密码,这边的用户名和密码可以按需设置,对于等级要求比较高的,建议使用随机的密码。
在这里插入图片描述
接下来会进入一段自动化的安装配置流程,主要是安装linux系统相关以及软件本身以来的环境内容,所以这块需要等待大概10分钟左右,如下:

在这里插入图片描述

在这里插入图片描述
然后按enter键重新启动之后进入security onion 上层软件相关的配置部分,如下:
在这里插入图片描述
在这里插入图片描述
关于不同类型的区别,见这里,初学者建议使用standalone版本。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
主机名建议设置一个有意义的名称,因为如果有防火墙等管理系统,这样可以通过主机名进行识别。
在这里插入图片描述
在这里插入图片描述
选择对应的网卡,作为SOC管理端(webUI访问地址)连接的网卡:
在这里插入图片描述
这个时候可以配置静态的IP地址,也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户,建议使用DHCP动态分配IP地址,因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的,如下如图。对于新手来说,使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题,例如安装期间会访问互联网。等到安装成功之后,在更改对应的IP为静态IP地址,每次可以很方便通过SSH登录进行查看。
在这里插入图片描述
在这里插入图片描述
没有配置代理,使用默认即可,如下:
在这里插入图片描述
由于securityonion安装了很多的docker服务,这块docker的IP使用默认即可
在这里插入图片描述
空格选中对应的网卡作为监控接口,因为Security onion具备监控流量的功能,选择该网卡作为流量监控之用,然后继续
在这里插入图片描述
因为security onion会需要以邮件形式发送一些告警报告的通知,输入邮箱继续:
在这里插入图片描述
由于web界面使用的是邮箱登录,因此为邮箱账户设置对应的密码
在这里插入图片描述
使用默认IP访问web页面即可,更具后面的经验,其实使用hostname更加的方便。
在这里插入图片描述
允许通过web安装更新
在这里插入图片描述
那些IP可以访问security onion,我这里设置的是0.0.0.0/0,表示所有的IP均可以访问,在实际生产环境中可能需要进行限制。
在这里插入图片描述
检查一下配置如下:
在这里插入图片描述
进入一段漫长的安装等待,大约一个小时,期间会访问网络下载文件,因此前面设置成为DHCP很重要,基本不用担心网络联通的问题。最后成功安装的截图如下:
在这里插入图片描述
如果安装过程提示有错误,到/root/errors.log查看原因,例如我是yara组件没有下载成功,有可能是网络原因,因此重新执行该命令即可。
在这里插入图片描述

SO web 界面

安装成功之后,访问web页面如下:
在这里插入图片描述
检查所有的服务是否运行正常,如下:
在这里插入图片描述
以上就是security onion安装的过程,后续将介绍security onion和其他sensor日志的集成。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/814437.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux 硬链接和软链接怎么区分使用?

一、什么是硬链接和软链接 硬链接 在Linux操作系统中,硬链接相当于存储在硬盘驱动器中的文件,它实际上引用或指向硬盘驱动器上的某个点。硬链接是原始文件的镜像副本。 硬链接与软链接的区别在于,删除原始文件不会影响硬链接,但…

网站如何一定程度上防止ddos和压力测试

1.通过nginx对并发数进行限制 防止压力测试的恶意攻击的思路:nginx限制同一个IP的并发最大为10,vi /usr/local/nginx/conf/nginx.conf在http{} 字段第一行添加:limit_conn_zone $binary_remote_addr zoneone:10m; 在对应的server{}里添加&a…

AI图书推荐:如何在课堂上使用ChatGPT 进行教育

ChatGPT是一款强大的新型人工智能,已向公众免费开放。现在,各级别的教师、教授和指导员都能利用这款革命性新技术的力量来提升教育体验。 本书提供了一个易于理解的ChatGPT解释,并且更重要的是,详述了如何在课堂上以多种不同方式…

【攻防世界】supersqli(堆叠注入)

进入题目环境,有输入框与注入参数,推测类型为SQL注入: 测试--注入类型为数字型还是字符型,构造payload:?inject1 or 12 并提交: 发现页面依然正常,说明注入类型为字符型,则继续检查…

ML在骨科手术术前、书中、术后方法应用综述【含数据集】

达芬奇V手术机器人 近年来,人工智能(AI)彻底改变了人们的生活。人工智能早就在外科领域取得了突破性进展。然而,人工智能在骨科中的应用研究尚处于探索阶段。 本文综述了近年来深度学习和机器学习应用于骨科图像检测的最新成果,描述了其贡献、优势和不足。以及未来每项研究…

Python数据库编程实战:sqlite3模块详解

Python数据库编程实战:sqlite3模块详解 在Python中,数据库编程是一项重要且实用的技能。通过数据库,我们可以高效地存储、检索和管理大量数据。Python提供了多种数据库编程接口,其中sqlite3模块是一个轻量级的关系型数据库引擎&a…

用AI提升儿童英语口语:和小猪佩奇对话

小孩子大部分都是喜欢动画片的,如果能让动画片中的角色和他们进行口语对话,应该可以极大的激发他们英语学习兴趣。 下面,以小猪佩奇为例来说明如何利用AI来创建一个虚拟的英语口语陪练小猪佩奇角色。 在kimichat对话框中键入提示词&#xf…

360极速浏览器启动外部应用设置记住选择后无法启动应用

之前学习并测试过通过网页调用本地应用的路线,原理是在注册表中注册能在网页中调用的命令,然后在网页中通过命令调用本地应用。测试过程中发现使用版本为12.0.1212.0的360极速浏览器的极速模式下启动外部应用时,每次都会出现启动外部应用的提…

近万字详解Docker常用功能合集(Docker系列第1章,共3章)

极简概括 官网:https://www.docker.com 利用比虚拟机更加轻量级的容器化虚拟技术,能够低成本的把当前环境快速打包或在新环境部署相同子环境的运维工具,基于Go语言实现,跨平台(支持Linux、Windows、MacOS)…

vue3 vueUse 连接蓝牙

目录 vueuse安装: useBluetooth: 调用蓝牙API 扫描周期设备 选择设备配对 连接成功 vue3的网页项目连接电脑或者手机上的蓝牙设备,使用vueUse库,可以快速检查连接蓝牙设备。 vueUse库使用参考: VueUse工具库 常用api-CSDN…

linux固定IP (centos)

编辑文件: vim /etc/sysconfig/network-scripts/ifcfg-ens33 修改内容: BOOTPROTO"static" (把dhcp改为static) ONBOOT"yes" (改为yes) 然后把自己要固定的ip,子网掩码,网关以及…

C语言经典例题(26)

1.奇偶统计 题目描述: 任意输入一个正整数N,统计1~N之间奇数的个数和偶数的个数,并输出。 输入描述: 一行,一个正整数N。(1≤N≤100,000) 输出描述: 一行,1~N之间奇数的个数和偶数的个数,用空…

[大模型]BlueLM-7B-Chat Lora 微调

BlueLM-7B-Chat Lora 微调 概述 本节我们简要介绍如何基于 transformers、peft 等框架,对 BlueLM-7B-Chat 模型进行 Lora 微调。Lora 是一种高效微调方法,深入了解其原理可参见博客:知乎|深入浅出Lora。 这个教程会在同目录下给大家提供一…

VMware 替代专题|金融、制造、医疗等行业用户实践合集(含虚拟化、vSAN、整体替代)

随着 VMware 调整产品组合和订阅模式,不少国内用户都将寻找 VMware 的替代方案提上日程。根据我们在 3 月初 VMware 升级替代研讨会上收集的用户反馈,近 50% 的 VMware 用户已计划使用其他厂商的超融合方案或相关产品替换 VMware 超融合或部分组件。 在…

使用python互相转换AVI、MP4、GIF格式视频文件

一、AVI文件转MP4文件 要将AVI格式的视频转换为 MP4,你可以使用 Python的 moviepy 库。以下是一个示例代码,用于将 AVI 文件转换为 MP4 文件: from moviepy.editor import VideoFileClip# 读取 AVI 文件 clip VideoFileClip("input.a…

【spring】AOP切面注解学习(二)

文接上篇&#xff1a;【spring】AOP切面注解学习&#xff08;一&#xff09; AOP切面注解测试示例代码 示例代码 一 maven的pom文件导入 <dependency><groupId>org.springframework</groupId><artifactId>spring-aop</artifactId></depende…

使用Kotlin进行全栈开发 Ktor+Kotlin/JS

首发于Enaium的个人博客 前言 本文将介绍如何使用 Kotlin 全栈技术栈KtorKotlin/JS来构建一个简单的全栈应用。 准备工作 创建项目 首先我们需要创建一个Kotlin项目&#xff0c;之后继续在其中新建两个子项目&#xff0c;一个是Kotlin/JS项目&#xff0c;另一个是Ktor项目。…

上海计算机学会 2023年10月月赛 丙组T1 三个数的中位数(模拟)

第一题&#xff1a;T1三个数的中位数 标签&#xff1a;模拟题意&#xff1a;给定三个整数&#xff0c;请输出按大小排序后&#xff0c;位于正中间的数字。题解&#xff1a;给三个数从小到大排序&#xff0c;输出中间的即可。代码&#xff1a; #include <bits/stdc.h> u…

itop4412内核编译_编译自定义函数到内核

我的itop4412开发板是半路捡的&#xff0c;所以没办法加他们的售后群&#xff0c;遇到的问题只好一点点记录吧 内核驱动编译 在日常工作过程中&#xff0c;编写内核程序可能机会不多&#xff0c;但是将厂商提供的内核源码编译到固件中&#xff0c;这个技能还是必须掌握的。 i…

每天学习一个Linux命令之w

每天学习一个Linux命令之w 介绍&#xff1a; 在Linux操作系统中&#xff0c;我们经常需要查看当前登录用户信息、系统负载以及其他用户的登录情况。w命令就是一个很常用的命令&#xff0c;它可以提供这些信息。本篇博客将详细介绍w命令及其所有可用的选项&#xff0c;帮助你更…