在Day 19 指揮挺!組合!打造資安艦隊 (2) 這篇文章中,我提到網路監控也是資訊安全重要的一環,藉由監控流量和分析封包,透過SIEM的整合,達到偵測、調查、防範等目的;同時我也提到,部分資訊可能有所重覆,例如Network Intrusion Detection System (NIDS) 也同樣檢視網路封包,所以和NetFlow等 Flow Data或路由器Syslog 有些重覆。熟知實際環境中各項設備能力,藉由SIEM安全資訊事件管理系統整合,同時考驗著資安人員的專業,所以投資商務授權的SIEM,讓有經驗的工程師幫你整合設備、調整各種日誌資訊,不失為一個好辦法。對於決心自己投入時間鑽研,卻受限於經費預算,缺乏工具可用的資安人員,想當《百戰天龍》的馬蓋先,有沒有一把資安瑞士刀Swiss Army Knife呢?
一套網路安全監控 Network Security Monitoring方案,大致上包括封包解析、IDS、分析工具三個核心套件,從封包獲取資訊、判別是否惡意、進行分析。這樣三合一的開源方案,叫做Security Onion (我都暱稱為安全洋蔥)。Security Onion是一套特別的Linux發行版,在開源和資安社群享有盛名,可惜我直到去年(2017)才聽到,能達到網路監控、入侵偵測和日誌管理三個目的,包括許多套件:
1.封包截取 Packet Capture
Security Onion 使用netsniff-ng,截取網路封包成為PCAP檔案,可以直接看PCAP檔案獲得資訊,或者藉由其他工具來分析。
Security Onion 包括幾種入侵偵測工具,有主機入侵偵測系統Host-based Intrusion Detection System (HIDS)和網路入侵偵測系統Network Intrusion Detection System (NIDS),關於什麼是HIDS和NIDS,邦友Fu-sheng於本次鐵人賽已有介紹,可參閱文末連結。Security Onion 包括的HIDS是有名的開源主機入侵偵測系統 OSSEC,可支援Linux、Windows和Mac系統,若熟悉Systemintel的工具sysmon和autorun,想在Windows系統上更進一步監測,Security Onion也支援sysmon和aurorun的整合。
NIDS方面,Security Onion有Snort 和Suricata供我們選擇,邦友Joejo在上次鐵人賽已有關於Snort的介紹,可參閱文末連結。Snort和Suricata可以和資料庫的規則Rule 和特徵Singature比對,偵測異常行為,除了Snort和Suricata,還有同樣大名鼎鼎的Bro IDS,有著非常豐富的特徵資料庫供我們判斷攻擊來源,同時Security Onion 整合**REN-ISAC Collective Intelligence Framework (CIF)**資安威脅情資,讓這個來自社群的資安威脅情資送到Bro協助分析,將已知的惡意IP、網域、 URL和偵測到的網路流量交叉比對,提高偵測準確率。
3.分析工具Analysis tools
Sguil提供管理各種警示和事件的資料平台,甚至直接進行DNS lookup查詢;還有Squert 從Sguil叫出資料提供網頁介面,讓我們檢視來自HIDS和NIDS警示、日誌等資訊;Enterprise Log Search and Archive (ELSA) 提供多樣功能,基本上就是類似SIEM的日誌管理套件。其他還有CapMe、Xplico等等工具。
沒了。對,關於分析工具的介紹只到這裡,因為很快就不重要了。
去年的SecTor2017大會上,主講者Michael Otto丟下一顆震撼彈:2017年10月31日,ELK 已經整合至Security Onion。
沒錯!Day 21我介紹的加拿大馬鹿ELK,已經整合至Security Onion。那天聽到的時候我差點站起來!現在下載的ISO檔已經有包含ELK/Elastic Stack,安裝時可以選擇原有的ELSA或是Elastic,雖然它現在還強調是實驗階段,但是只要安裝好Security Onion,你就可以享有一套完整包含HIDS/NIDS的網路安全監控方案,外加功能強大的SIEM,而且完全免費,正如主講者Michael Otto所說:“All of this is available to you, for nothing, zero cost, but the time”。還等什麼呢?捲起袖子,來玩安全洋蔥Security Onion吧!
*Security Onion架構圖 (with ELK/Elastic Stack)來自官網Github
「想要得到,就必須要付出,一切都需要等價交換!」- - 《鋼之煉金術師》
你有用過Security Onion嗎?或是類似的工具呢?還是用過任何今天提到的開源套件?歡迎留言分享。
邦友Fu-sheng於本次鐵人賽介紹HIDS:資安的學習心得及分享系列 第 3 篇HIDS (Host-based intrusion detection system)
https://ithelp.ithome.com.tw/articles/10190825
邦友Fu-sheng於本次鐵人賽介紹NIDS:資安的學習心得及分享系列 第 4 篇 Network Intrusion Detection System
https://ithelp.ithome.com.tw/articles/10190920
邦友Joejo在上次鐵人賽關於SNORT的介紹:網管實務系列 第 25 篇 snort
https://ithelp.ithome.com.tw/articles/10185552
資安分析師的轉職升等之路系列 第 21 篇 沒有SIEM? 試養開源的加拿大馬鹿ELK
https://ithelp.ithome.com.tw/articles/10196402
Security Onion官網
https://securityonion.net/