当前位置: 首页 > news >正文

家庭网络防御系统搭建-siem之security onion 安装配置过程详解

本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。

充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如suricata,zeek,蜜罐)以及终端侧的告警(sysmon,elastic)的等告警,同时针对安全业务集成了很多安全相关实用的功能,包括威胁狩猎功能,attack矩阵的集成,以及case的管理功能。这样就省去了新手大量的集成和配置工作,当然对用户灵活性要求比较高的同学,可以从elastic以及splunk等原生的数据处理平台一点点集成。

SO下载

建议下载最新版本,我安装时最新的版本为security onion2.4.60,这里。由于技术的迭代,主要之前的2.3版本是基于centos系统,而centos已经停止维护,因此之前的security onion老版本已经停止维护,新版本是基于oracle Linux 9.3版本,如下图:
在这里插入图片描述

软件安装

由于security onion本质上是一个linux系统,因此可以安装在虚拟机上,也可以直接安装在主机上。新手比较建议安装在独立的机器上,可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本,该版本能够满足家庭网络的绝大多数的需求,在VM虚拟机配置这块,需要分配100G以上的内存,CPU为4核,8G以上的内存,这点配置需要注意。在虚拟机上安装,中间遇到任何问题,可以关机,重新开始。
如下是security onion各种类型的的最低配置要求:
在这里插入图片描述
我安装的standalone版本的配置如下,最重要的是需要两张网卡,如下:
在这里插入图片描述
默认会选择安装第一项,即2.4.60的生产版本。然后进入如下安装界面,yes继续之后,输入用户名和密码,这边的用户名和密码可以按需设置,对于等级要求比较高的,建议使用随机的密码。
在这里插入图片描述
接下来会进入一段自动化的安装配置流程,主要是安装linux系统相关以及软件本身以来的环境内容,所以这块需要等待大概10分钟左右,如下:

在这里插入图片描述

在这里插入图片描述
然后按enter键重新启动之后进入security onion 上层软件相关的配置部分,如下:
在这里插入图片描述
在这里插入图片描述
关于不同类型的区别,见这里,初学者建议使用standalone版本。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
主机名建议设置一个有意义的名称,因为如果有防火墙等管理系统,这样可以通过主机名进行识别。
在这里插入图片描述
在这里插入图片描述
选择对应的网卡,作为SOC管理端(webUI访问地址)连接的网卡:
在这里插入图片描述
这个时候可以配置静态的IP地址,也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户,建议使用DHCP动态分配IP地址,因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的,如下如图。对于新手来说,使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题,例如安装期间会访问互联网。等到安装成功之后,在更改对应的IP为静态IP地址,每次可以很方便通过SSH登录进行查看。
在这里插入图片描述
在这里插入图片描述
没有配置代理,使用默认即可,如下:
在这里插入图片描述
由于securityonion安装了很多的docker服务,这块docker的IP使用默认即可
在这里插入图片描述
空格选中对应的网卡作为监控接口,因为Security onion具备监控流量的功能,选择该网卡作为流量监控之用,然后继续
在这里插入图片描述
因为security onion会需要以邮件形式发送一些告警报告的通知,输入邮箱继续:
在这里插入图片描述
由于web界面使用的是邮箱登录,因此为邮箱账户设置对应的密码
在这里插入图片描述
使用默认IP访问web页面即可,更具后面的经验,其实使用hostname更加的方便。
在这里插入图片描述
允许通过web安装更新
在这里插入图片描述
那些IP可以访问security onion,我这里设置的是0.0.0.0/0,表示所有的IP均可以访问,在实际生产环境中可能需要进行限制。
在这里插入图片描述
检查一下配置如下:
在这里插入图片描述
进入一段漫长的安装等待,大约一个小时,期间会访问网络下载文件,因此前面设置成为DHCP很重要,基本不用担心网络联通的问题。最后成功安装的截图如下:
在这里插入图片描述
如果安装过程提示有错误,到/root/errors.log查看原因,例如我是yara组件没有下载成功,有可能是网络原因,因此重新执行该命令即可。
在这里插入图片描述

SO web 界面

安装成功之后,访问web页面如下:
在这里插入图片描述
检查所有的服务是否运行正常,如下:
在这里插入图片描述
以上就是security onion安装的过程,后续将介绍security onion和其他sensor日志的集成。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

相关文章:

家庭网络防御系统搭建-siem之security onion 安装配置过程详解

本文介绍一下security onion的安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。 充当SIEM的平台有很多,比如可以直接使用原生的elastic以及splunk等,security onion的优势在于该平台能够方便的集成网络侧(比如…...

【MATLAB源码-第23期】基于matlab的短时傅里叶STFT信号变换仿真,得到信号的时频曲线图。

1、算法描述 短时傅里叶变换(Short-Time Fourier Transform,STFT)是傅里叶变换的一种扩展,用于分析信号在时域和频域上的变化。描述如下: 1. **时域与频域分析**: - 信号通常以时域的形式表示&#xf…...

链表中倒数最后k个结点【c语言】

#include <stdio.h> #include <stdlib.h>typedef struct Node {int data;struct Node* next; } Node, *LinkedList;// 创建一个新节点 Node* createNode(int data) {Node* newNode (Node*)malloc(sizeof(Node));if (newNode NULL) {printf("Error! Unable t…...

在一台恢复测试机器上验证oracle备份有效性

一 目的 定期将生产环境oracle数据库恢复到一台测试环境数据库服务器上&#xff0c;以验证备份是否有效&#xff0c;是否能正常恢复。 二 环境 这里以恢复orcl1库为例&#xff0c;计划在orcl这个实例上进行恢复测试。 三 实验步骤 3.1 在目标端创建和源端一样的备份目录 ①…...

Harmony鸿蒙南向驱动开发-MIPI CSI

CSI&#xff08;Camera Serial Interface&#xff09;是由MIPI联盟下Camera工作组指定的接口标准。CSI-2是MIPI CSI第二版&#xff0c;主要由应用层、协议层、物理层组成&#xff0c;最大支持4通道数据传输、单线传输速度高达1Gb/s。 物理层支持HS&#xff08;High Speed&…...

最优算法100例之43-包含min函数的栈

专栏主页:计算机专业基础知识总结(适用于期末复习考研刷题求职面试)系列文章https://blog.csdn.net/seeker1994/category_12585732.html 题目描述 题目描述: 定义栈的数据结构,请在该类型中实现一个能够得到栈的最小元素的min函数,在该栈中,调用min,push及pop的时间复杂…...

什么是One-Class SVM

1. 简介 单类支持向量机&#xff0c;简称One-Class SVM(One-Class Support Vector Machine)&#xff0c;是一种用于异常检测的监督学习算法。其主要目标是找出数据集中的异常或罕见样本&#xff0c;而不需要大量的正常样本用于训练。这使其在处理高维数据和非常稀疏的异常检测问…...

【Ubuntu】远程连接乌班图的方式-命令行界面、图形界面

​​​​​​系统环境&#xff1a;ubuntu-22.04.2-amd64.iso 连接工具&#xff1a;MobaXterm、windows自带远程桌面mstsc.exe 重置root密码&#xff1a;Ubuntu默认root密码是随机的&#xff0c;需要使用命令sudo passwd 进行重置。 一、命令行界面-SSH连接 1.1 SSH服务安装 …...

Ubuntu无网络标识的解决方法

1.出现的情况的特点 2.解决办法 2.1 进入root并输入密码 sudo su 2.2 更新NetworkManager的配置 得先有gedit或者vim&#xff0c;两个随意一个&#xff0c;这里用的gedit&#xff0c;没有就先弄gedit&#xff0c;有的话直接下一步 apt-get install gedit 或者vim apt-get ins…...

基于springboot实现课程答疑管理系统项目【项目源码+论文说明】

基于springboot实现课程答疑管理系统演示 摘要 随着信息互联网信息的飞速发展&#xff0c;无纸化作业变成了一种趋势&#xff0c;针对这个问题开发一个专门适应师生交流形式的网站。本文介绍了课程答疑系统的开发全过程。通过分析企业对于课程答疑系统的需求&#xff0c;创建了…...

【JVM】面试题汇总

JVM1. 什么是JVM&#xff1f;2. 了解过字节码文件的组成吗&#xff1f;3. 什么是运行时数据区4. 哪些区域会出现内存溢出5. JVM在JDK6-8之间在内存区域上有什么不同 6. 类的生命周期 7. 什么是类加载器&#xff1f;类加载器有哪几种 8. 什么是双亲委派机制&#xff1f;有什么好…...

趣谈 Rust 的 Copy trait 和 Clone trait

一、Copy trait 的关键作用 Rust 程序中的变量可以分成两类&#xff1a;实现 Copy trait 的和没实现 Copy trait 的。这有啥区别&#xff1f;当然很重要! 实现 Copy trait 的变量&#xff1a; 不存在所有权问题&#xff0c;可以随意赋值给其他变量&#xff0c;可以随意当参数…...

02 - Git 之命令 +

1 Git相关概念 1.1 以下所谈三个区&#xff0c;文件并不只是简单地在三个区转移&#xff0c;而是以复制副本的方式转移 使用 Git 管理的项目&#xff0c;拥有三个区域&#xff0c;分别是 Working area工作区&#xff08;亦称为 工作树Working Tree&#xff09;、stage area …...

每日一练(力扣)

我的思路是暴力枚举: 情况1:相同&#xff0c;就让子串和原串同时后移继续比较 情况2:不相同&#xff0c;就只让原串后移 public int strStr(String haystack, String needle) {if (haystack.length() < needle.length()){return -1;}for (int i 0; i < h…...

JWT详解及实战教程

目录 1.什么是JWT 2.JWT能做什么 3.为什么是JWT 基于传统的Session认证 基于JWT认证 4.JWT的结构是什么? 5.使用JWT 6.封装工具类 7.整合springboot 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way…...

vue通过echarts实现数据可视化

1、安装echarts cnpm install echarts -Sechart官方图表示例大全&#xff1a;https://echarts.apache.org/examples/zh/index.html#chart-type-line 2、代码实现 <template><div><div class"box" ref"zhu"></div><div class&…...

react17中使用setState导致了死循环

在使用setState时发生死循环的错误&#xff0c;可能的原因是在这三个地方使用了setState&#xff1a; componentDidUpdate&#xff1b;componentWillUpdate&#xff1b;render。 为什么会这样? 每次渲染页面的时候就会调用render&#xff0c;render里面是setState&#xff0…...

2024年P气瓶充装证模拟考试题库及P气瓶充装理论考试试题

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 2024年P气瓶充装证模拟考试题库及P气瓶充装理论考试试题是由安全生产模拟考试一点通提供&#xff0c;P气瓶充装证模拟考试题库是根据P气瓶充装最新版教材&#xff0c;P气瓶充装大纲整理而成&#xff08;含2024年P气瓶…...

Python学习笔记(一)

一、简述实例属性与类属性的区别以及实例方法与类方法的区别 &#xff08;一&#xff09;实例属性与类属性 1、实例属性是定义在类的内部&#xff0c;是每个类都共有的属性&#xff1b;2、实例属性是属于对象的&#xff0c;每个对象的可以根据自己的需要不一样&#xff0c;生…...

记一次http访问超时服务器端调试

问题&#xff1a;http访问服务器时没有返回&#xff0c;没有超时&#xff0c;一直在阻塞 处理过程&#xff1a;telnet端口能连上&#xff0c;服务端程序也不存在处理时间过长的情况。 说明tcp连接没问题。推测是客户端连接后再发起请求&#xff0c;服务端阻塞了。因为很多客户…...

JavaSec-RCE

简介 RCE(Remote Code Execution)&#xff0c;可以分为:命令注入(Command Injection)、代码注入(Code Injection) 代码注入 1.漏洞场景&#xff1a;Groovy代码注入 Groovy是一种基于JVM的动态语言&#xff0c;语法简洁&#xff0c;支持闭包、动态类型和Java互操作性&#xff0c…...

简易版抽奖活动的设计技术方案

1.前言 本技术方案旨在设计一套完整且可靠的抽奖活动逻辑,确保抽奖活动能够公平、公正、公开地进行,同时满足高并发访问、数据安全存储与高效处理等需求,为用户提供流畅的抽奖体验,助力业务顺利开展。本方案将涵盖抽奖活动的整体架构设计、核心流程逻辑、关键功能实现以及…...

练习(含atoi的模拟实现,自定义类型等练习)

一、结构体大小的计算及位段 &#xff08;结构体大小计算及位段 详解请看&#xff1a;自定义类型&#xff1a;结构体进阶-CSDN博客&#xff09; 1.在32位系统环境&#xff0c;编译选项为4字节对齐&#xff0c;那么sizeof(A)和sizeof(B)是多少&#xff1f; #pragma pack(4)st…...

uni-app学习笔记二十二---使用vite.config.js全局导入常用依赖

在前面的练习中&#xff0c;每个页面需要使用ref&#xff0c;onShow等生命周期钩子函数时都需要像下面这样导入 import {onMounted, ref} from "vue" 如果不想每个页面都导入&#xff0c;需要使用node.js命令npm安装unplugin-auto-import npm install unplugin-au…...

Qt Widget类解析与代码注释

#include "widget.h" #include "ui_widget.h"Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget) {ui->setupUi(this); }Widget::~Widget() {delete ui; }//解释这串代码&#xff0c;写上注释 当然可以&#xff01;这段代码是 Qt …...

JVM垃圾回收机制全解析

Java虚拟机&#xff08;JVM&#xff09;中的垃圾收集器&#xff08;Garbage Collector&#xff0c;简称GC&#xff09;是用于自动管理内存的机制。它负责识别和清除不再被程序使用的对象&#xff0c;从而释放内存空间&#xff0c;避免内存泄漏和内存溢出等问题。垃圾收集器在Ja…...

在WSL2的Ubuntu镜像中安装Docker

Docker官网链接: https://docs.docker.com/engine/install/ubuntu/ 1、运行以下命令卸载所有冲突的软件包&#xff1a; for pkg in docker.io docker-doc docker-compose docker-compose-v2 podman-docker containerd runc; do sudo apt-get remove $pkg; done2、设置Docker…...

蓝桥杯3498 01串的熵

问题描述 对于一个长度为 23333333的 01 串, 如果其信息熵为 11625907.5798&#xff0c; 且 0 出现次数比 1 少, 那么这个 01 串中 0 出现了多少次? #include<iostream> #include<cmath> using namespace std;int n 23333333;int main() {//枚举 0 出现的次数//因…...

sipsak:SIP瑞士军刀!全参数详细教程!Kali Linux教程!

简介 sipsak 是一个面向会话初始协议 (SIP) 应用程序开发人员和管理员的小型命令行工具。它可以用于对 SIP 应用程序和设备进行一些简单的测试。 sipsak 是一款 SIP 压力和诊断实用程序。它通过 sip-uri 向服务器发送 SIP 请求&#xff0c;并检查收到的响应。它以以下模式之一…...

省略号和可变参数模板

本文主要介绍如何展开可变参数的参数包 1.C语言的va_list展开可变参数 #include <iostream> #include <cstdarg>void printNumbers(int count, ...) {// 声明va_list类型的变量va_list args;// 使用va_start将可变参数写入变量argsva_start(args, count);for (in…...