简介

Security Onion是一款由安全防御人员为安全防御人员构建的免费开放平台。它包括网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理等功能。详细信息可以查看官网Security Onion Solutions

在网络可见性方面，Security Onion提供了基于签名的检测（通过Suricata）、使用Zeek或Suricata进行的丰富协议元数据和文件提取、使用Stenographer或Suricata进行的全包捕获，以及文件分析。

在主机可见性方面，它提供了Elastic Agent，该工具可实现数据收集、通过osquery进行的实时查询，以及使用Elastic Fleet进行的集中管理。此外，还可以将基于OpenCanary的入侵检测蜜罐添加到部署中，以获得更多企业级可见性。

部署架构

部署Security Onion，首先你需要决定你想要哪种类型的部署。可以是个人笔记本电脑上的小型虚拟机中临时导入安装，也可以是由管理节点、多个搜索节点和大量转发节点组成的大型可扩展企业部署的安装方式。

import

最简单的架构。import是一个独立的盒子，它仅运行足够的组件以便能够通过Grid页面导入pcap或evtx文件。它不支持添加Elastic代理或其他Security Onion节点。

Evaluation

evaluation评估架构,它比import架构稍微复杂一些，因为它有一个网络接口专门用于从TAP或SPAN端口嗅探实时流量。进程会监控该嗅探接口上的流量并生成日志。Elastic Agent收集这些日志并直接发送到Elasticsearch，在那里它们被解析并索引。评估模式旨在快速安装，以便临时测试Security Onion。它完全不适用于生产环境，也不支持添加Elastic代理或其他Security Onion节点。

Standalone

standalone独立架构与evaluation评估架构类似，所有组件都运行在同一个盒子上。然而，与Elastic Agent直接将日志发送到Elasticsearch不同，在独立架构中，Elastic Agent将日志发送到Logstash，Logstash再将日志发送到Redis进行排队。第二个Logstash管道从Redis中提取日志，并将它们发送到Elasticsearch，在那里日志被解析并索引。

这种部署类型通常用于测试、实验室、概念验证（POCs）或吞吐量非常低的环境。与分布式部署相比，它的可扩展性较差。

Desktop

desktop安装程序包括一个Security Onion桌面选项，用于构建一个简单的桌面环境。这个环境包括一个网页浏览器，允许您登录到现有的Security Onion部署。此外，它还包含一些分析实用工具，如Wireshark和NetworkMiner。

Distributed

标准的分布式部署包括一个管理节点、一个或多个运行网络传感器组件的前端节点，以及一个或多个运行Elastic搜索组件的搜索节点。这种架构可能在前期成本较高，但它提供了更高的可扩展性和性能，因为您可以简单地添加更多节点来处理更多的流量或日志源。

如果安装了专用的管理节点，则还必须部署一个或多个搜索节点。否则，所有日志都将在管理节点上排队，而没有存储的地方。如果在可部署的节点数量上有限制，可以安装一个管理搜索节点，以便管理节点可以作为搜索节点并存储这些日志。但是，请注意，与管理节点和单独的搜索节点组成的推荐架构相比，管理搜索节点的整体性能和可扩展性将较低。

安装security onion

可以通过官网下载对应的系统镜像，然后根据自己的需求安装在虚拟机上或者物理服务器上。我这里先安装在虚拟机上，后期会直接安装在物理服务器上。