Security Onion洋蔥安裝完畢，設定確認，特徵資料庫Rule Set更新，接下來可以開始實際操作網路安全監控了吧？等等，但是我們的LAB環境只有一台Security Onion監控洋蔥，用作收集資料、偵測、分析，沒有架設執行攻擊的VM啊？難道今天要教大家怎麼架設、安裝攻擊機VM嗎？

Replay PCAP

非也，新版Security Onion 16.04有個好用的功能，就是重播PCAP來進一步分析，Security Onion的資料夾裡面有現成的PCAP樣本可供我們重播，通常如果是正式環境，我們會架設另一台獨立的Analyst VM，沒有監控網路介面，作為資料分析、處理之用，可以連上遠端的sguil資料庫檢視，或者將PCAP檔案在這個獨立的Analyst VM進行重播、分析；既然這是LAB環境，我們直接使用重播功能。但是要注意首先要調整VM，先將對外的網路管理介面停用，而網路監控介面也要調整VirtualBox設定，不讓它對外聯絡，為的是將VM環境獨立封閉起來，避免重播PCAP造成惡意攻擊。

PCAP樣本在 /opt/samples/ 資料夾內，這裡我用了以下tcpreplay指令：

sudo tcpreplay -i enp0s8 -M10 example.com-3.pcap

enp0s8 是監控網路介面，example.com-3.pcap是我想要重播、分析的PCAP檔，-M10是限制流量怕造成問題。

Replay vs Import

Security Onion 除了可以用tcpreplay重播特定PCAP外，也可以用另一個方便的指令：so-replay

這個指令將會用tcpreplay重播所有/opt/samples/ 資料夾之下的PCAP檔；洋蔥還有另一個指令是So-import-pcap。這Replay和Import兩者間有什麼差別呢？關鍵在於時間Timestamp，執行Replay會將側錄在PCAP的所有活動即時重播，所以時間會顯示現在的時間；Import則會保留活動原始發生的時間，這在數位鑑識上是非常重要的，尤其是會需要比對事件發生的時間點，繼續在同時間點尋找軌跡。要用哪個指令，就看情況場合斟酌使用。

Sguil

重播玩PCAP後我們進入Sguil，這時候就會看到Sguil介面多了很多警示資料，這些可能來自OSSEC(Wazuh) HIDS，也可能是 Snort或 Suricata產生的警示，或是來自Bro等等，我們可以對這些警示資料做進一步分析，例如在有IP位址的欄位點擊右鍵，如下圖所示：

可以直接查詢IP位址，看看IP位址是否在Domain Tools或VirusTotal等等網站登記在案是惡意來源；或者我們也可以在Alert ID欄位點右鍵，檢視該事件全文資料，我們可以簡短地看Transcript或者在Wireshark、NetworkMiner、Bro等等工具下檢視全文資料，如下圖所示：

Sguil 還可以進行更多分析，例如比對Correlate事件，進階查詢等等，不過Sguil是設計給CIRT 或SOC分析員用的即時介面，當事件發生後，分析員需要進行調查、分析，之後改變RT標籤為以下七種事件類別之一，或者按F8標示為NA (Not Applicable)，這樣警示就會從即時顯示上消失，表示該事件已經被「處理」，在企業組織安全周期中從「偵測」進入到「回應」階段：

1. Unauthorized Root/Admin Access
2. Unauthorized User Access
3. Attempted Unauthorized Access
4. Successful Denial of Service Attack
5. Poor Security Practice or Policy Violation
6. Reconnaissance/Probes/Scans
7. Virus Infection

實際具體作業還是要依照SOC運作程序和主管指示。

Security Onion Wiki: PCAPS
https://github.com/Security-Onion-Solutions/security-onion/wiki/Pcaps