在Day 19 指揮挺！組合！打造資安艦隊 (2) 這篇文章中，我提到網路監控也是資訊安全重要的一環，藉由監控流量和分析封包，透過SIEM的整合，達到偵測、調查、防範等目的；同時我也提到，部分資訊可能有所重覆，例如Network Intrusion Detection System (NIDS) 也同樣檢視網路封包，所以和NetFlow等 Flow Data或路由器Syslog 有些重覆。熟知實際環境中各項設備能力，藉由SIEM安全資訊事件管理系統整合，同時考驗著資安人員的專業，所以投資商務授權的SIEM，讓有經驗的工程師幫你整合設備、調整各種日誌資訊，不失為一個好辦法。對於決心自己投入時間鑽研，卻受限於經費預算，缺乏工具可用的資安人員，想當《百戰天龍》的馬蓋先，有沒有一把資安瑞士刀Swiss Army Knife呢？

一套網路安全監控 Network Security Monitoring方案，大致上包括封包解析、IDS、分析工具三個核心套件，從封包獲取資訊、判別是否惡意、進行分析。這樣三合一的開源方案，叫做Security Onion (我都暱稱為安全洋蔥)。Security Onion是一套特別的Linux發行版，在開源和資安社群享有盛名，可惜我直到去年(2017)才聽到，能達到網路監控、入侵偵測和日誌管理三個目的，包括許多套件：

1.封包截取 Packet Capture

Security Onion 使用netsniff-ng，截取網路封包成為PCAP檔案，可以直接看PCAP檔案獲得資訊，或者藉由其他工具來分析。

2. 入侵偵測IDS

Security Onion 包括幾種入侵偵測工具，有主機入侵偵測系統Host-based Intrusion Detection System (HIDS)和網路入侵偵測系統Network Intrusion Detection System (NIDS)，關於什麼是HIDS和NIDS，邦友Fu-sheng於本次鐵人賽已有介紹，可參閱文末連結。Security Onion 包括的HIDS是有名的開源主機入侵偵測系統 OSSEC，可支援Linux、Windows和Mac系統，若熟悉Systemintel的工具sysmon和autorun，想在Windows系統上更進一步監測，Security Onion也支援sysmon和aurorun的整合。

NIDS方面，Security Onion有Snort 和Suricata供我們選擇，邦友Joejo在上次鐵人賽已有關於Snort的介紹，可參閱文末連結。Snort和Suricata可以和資料庫的規則Rule 和特徵Singature比對，偵測異常行為，除了Snort和Suricata，還有同樣大名鼎鼎的Bro IDS，有著非常豐富的特徵資料庫供我們判斷攻擊來源，同時Security Onion 整合**REN-ISAC Collective Intelligence Framework (CIF)**資安威脅情資，讓這個來自社群的資安威脅情資送到Bro協助分析，將已知的惡意IP、網域、 URL和偵測到的網路流量交叉比對，提高偵測準確率。

3.分析工具Analysis tools

Sguil提供管理各種警示和事件的資料平台，甚至直接進行DNS lookup查詢；還有Squert 從Sguil叫出資料提供網頁介面，讓我們檢視來自HIDS和NIDS警示、日誌等資訊；Enterprise Log Search and Archive (ELSA) 提供多樣功能，基本上就是類似SIEM的日誌管理套件。其他還有CapMe、Xplico等等工具。

沒了。對，關於分析工具的介紹只到這裡，因為很快就不重要了。

去年的SecTor2017大會上，主講者Michael Otto丟下一顆震撼彈：2017年10月31日，ELK 已經整合至Security Onion。

沒錯！Day 21我介紹的加拿大馬鹿ELK，已經整合至Security Onion。那天聽到的時候我差點站起來！現在下載的ISO檔已經有包含ELK/Elastic Stack，安裝時可以選擇原有的ELSA或是Elastic，雖然它現在還強調是實驗階段，但是只要安裝好Security Onion，你就可以享有一套完整包含HIDS/NIDS的網路安全監控方案，外加功能強大的SIEM，而且完全免費，正如主講者Michael Otto所說：“All of this is available to you, for nothing, zero cost, but the time”。還等什麼呢？捲起袖子，來玩安全洋蔥Security Onion吧！

*Security Onion架構圖 (with ELK/Elastic Stack)來自官網Github

「想要得到，就必須要付出，一切都需要等價交換！」- - 《鋼之煉金術師》

你有用過Security Onion嗎？或是類似的工具呢？還是用過任何今天提到的開源套件？歡迎留言分享。

邦友Fu-sheng於本次鐵人賽介紹HIDS：資安的學習心得及分享系列 第 3 篇HIDS (Host-based intrusion detection system)
https://ithelp.ithome.com.tw/articles/10190825
邦友Fu-sheng於本次鐵人賽介紹NIDS：資安的學習心得及分享系列 第 4 篇 Network Intrusion Detection System
https://ithelp.ithome.com.tw/articles/10190920

邦友Joejo在上次鐵人賽關於SNORT的介紹：網管實務系列 第 25 篇 snort
https://ithelp.ithome.com.tw/articles/10185552

資安分析師的轉職升等之路系列 第 21 篇 沒有SIEM? 試養開源的加拿大馬鹿ELK
https://ithelp.ithome.com.tw/articles/10196402

Security Onion官網
https://securityonion.net/