iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 21
1

在第五天介紹LogRhythm NetMon Freemium,本身設計是和自家廠商SIEM﹝Security Information and Event Management,安全資訊和事件管理﹞平台整合,所以如果公司組織網路環境裡沒有SIEM,進行網路安全監控的能力便會受限。今天介紹的開源工具是Security Onion,它是一個源自於Ubuntu的Linux發行版,整合各種工具,達到網路安全監控NSM的三項要素:收集資料、偵測、分析,有資料收集套件,有偵測引擎,亦有分析平台,上屆鐵人賽《資安分析師的轉職升等之路》曾經介紹過可以參閱。

今年十月,Security Onion迎來十周年紀念,目前新版本16.04已經有ELK Stack/Elastic Stack具備SIEM的功能,加入新功能例如重放PCAP檔案,也持續不斷地更新、加入更多好用的工具,例如用於網路鑑識的NetworkMiner、協助分析的CyberChef等等,不斷進化,真的感謝創始人Doug Burks和開源社群持續不斷的努力!

https://4.bp.blogspot.com/-nq3sLCmDEMA/W8-Bv_u_fCI/AAAAAAAAFIw/0nI7929XTqII3HKRThncI7CvMPvw9QnEwCLcBGAs/s1600/SO10yearCake.jpg
*圖片來自Security Onion Blog

之前提過進行網路安全監控需要收集的資料包括:
• 全文 Full content
• 提取內容 Extracted content
• Session 資料 Session data
• 處理資料 Transaction data
• 統計資料 Statistical data
• 元資料Metadata
• 警告資料 Alert data

Security Onion可以收集、處理這些資料,進行偵測、分析,驗證偵測到的活動和事件是否為正常、可疑或惡意:netsniff-ng負責截取封包收集全文或提取內容,運用WireShark CapME分析封包;Bro 提供Session 資料、元資料Metadata、Session data和處理資料 Transaction data;藉由BeatsWazuh HIDS、SyslogSysmon等提供主機資料Host data;以偵測引擎如SurricataSnort等產生警示資料Alert data;結合Kibana的圖形介面與其他分析工具,Security Onion完整地處理網路安全監控資料週期,無論是分析通訊協定Protocol、日誌分析、藉由NIDS的特徵資料庫進行Signature-based分析,或是針對收集的資料進行Anomaly-based分析,Security Onion都能勝任,而且還能依據任務需要進行擴充、增加新能力。

功能這麼豐富的Linux發行版,可以下載Security Onion ISO檔案直接安裝,也可以裝好自己喜歡的Ubuntu Linux版本後下載安裝Security Onion的套件,網路上有很多教學視頻與文件,有舉辦第五年的Security Onion Conference大會,Doug Burks成立的Security Onion Solutions LLC公司也提供培訓與安裝服務,接下來的幾天就讓我們來認識它吧!

《資安分析師的轉職升等之路系列Day 27需要網路安全監控?來一顆安全洋蔥Security Onion》
https://ithelp.ithome.com.tw/articles/10197324

Security Onion Blog: Happy 10th Birthday, Security Onion
https://blog.securityonion.net/2018/10/happy-10th-birthday-security-onion.html


上一篇
NSM 20: 偵測方法Signature vs Anomaly
下一篇
NSM 22:安裝Security Onion 16.04
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言