在第五天介紹LogRhythm NetMon Freemium，本身設計是和自家廠商SIEM﹝Security Information and Event Management，安全資訊和事件管理﹞平台整合，所以如果公司組織網路環境裡沒有SIEM，進行網路安全監控的能力便會受限。今天介紹的開源工具是Security Onion，它是一個源自於Ubuntu的Linux發行版，整合各種工具，達到網路安全監控NSM的三項要素：收集資料、偵測、分析，有資料收集套件，有偵測引擎，亦有分析平台，上屆鐵人賽《資安分析師的轉職升等之路》曾經介紹過可以參閱。

今年十月，Security Onion迎來十周年紀念，目前新版本16.04已經有ELK Stack/Elastic Stack具備SIEM的功能，加入新功能例如重放PCAP檔案，也持續不斷地更新、加入更多好用的工具，例如用於網路鑑識的NetworkMiner、協助分析的CyberChef等等，不斷進化，真的感謝創始人Doug Burks和開源社群持續不斷的努力！

*圖片來自Security Onion Blog

之前提過進行網路安全監控需要收集的資料包括：
• 全文 Full content
• 提取內容 Extracted content
• Session 資料 Session data
• 處理資料 Transaction data
• 統計資料 Statistical data
• 元資料Metadata
• 警告資料 Alert data

Security Onion可以收集、處理這些資料，進行偵測、分析，驗證偵測到的活動和事件是否為正常、可疑或惡意：netsniff-ng負責截取封包收集全文或提取內容，運用WireShark 或CapME分析封包；Bro 提供Session 資料、元資料Metadata、Session data和處理資料 Transaction data；藉由Beats、Wazuh HIDS、Syslog、Sysmon等提供主機資料Host data；以偵測引擎如Surricata或Snort等產生警示資料Alert data；結合Kibana的圖形介面與其他分析工具，Security Onion完整地處理網路安全監控資料週期，無論是分析通訊協定Protocol、日誌分析、藉由NIDS的特徵資料庫進行Signature-based分析，或是針對收集的資料進行Anomaly-based分析，Security Onion都能勝任，而且還能依據任務需要進行擴充、增加新能力。

功能這麼豐富的Linux發行版，可以下載Security Onion ISO檔案直接安裝，也可以裝好自己喜歡的Ubuntu Linux版本後下載安裝Security Onion的套件，網路上有很多教學視頻與文件，有舉辦第五年的Security Onion Conference大會，Doug Burks成立的Security Onion Solutions LLC公司也提供培訓與安裝服務，接下來的幾天就讓我們來認識它吧！

《資安分析師的轉職升等之路系列Day 27需要網路安全監控？來一顆安全洋蔥Security Onion》
https://ithelp.ithome.com.tw/articles/10197324

Security Onion Blog: Happy 10th Birthday, Security Onion
https://blog.securityonion.net/2018/10/happy-10th-birthday-security-onion.html