您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

免费开源网络安全监控系统:安全洋葱SecurityOnion

2018-8-31 09:24| 投稿: xiaotiger |来自: 互联网

摘要: 私信回复 安全洋葱 获取下载链接简而言之,网络安全监控(NSM)可以监控您的网络以查找与安全相关的事件。当用于识别漏洞或使SSL证书过期时,它可能是主动的,或者它可能是被动的,例如在事件响应和网络取证中。无论 ...

私信回复 安全洋葱 获取下载链接

简而言之,网络安全监控(NSM)可以监控您的网络以查找与安全相关的事件。当用于识别漏洞或使SSL证书过期时,它可能是主动的,或者它可能是被动的,例如在事件响应和网络取证中。无论您是在追踪对手还是试图阻止恶意软件,NSM都能为您的网络提供背景,智能和态势感知。有些商业解决方案与Security Onion提供的解决方案非常接近,但很少有商业解决方案在一个包中包含Security Onion的巨大功能。

许多人认为NSM是他们可以购买以填补空白的解决方案; 购买和部署解决方案XYZ并解决问题。您可以购买NSM的信念否认NSM首字母缩写词中最重要的单词是“M”用于监控。可以收集和分析数据,但并非所有恶意活动乍一看都是恶意的。虽然自动化和关联可以增强智能并协助对误报和恶意指标进行排序,但人类智能和意识并没有替代品。我不想让你失望。安全洋葱不是一个可以设置,离开并感到安全的银弹。什么都没有,如果这就是你要找的东西,你永远找不到它。Security Onion将提供有关警报和异常事件的网络流量和上下文的可见性。

核心组件

Security Onion将三个核心功能无缝融合在一起:完整数据包捕获,基于网络和基于主机的入侵检测入侵检测系统(分别为NIDS和HIDS),以及强大的分析工具。

通过netsniff-ng完成全包捕获(http://netsniff-ng.org/),“包嗅野兽”。netsniff-ng捕获您的安全洋葱传感器看到并存储的所有流量,就像您的存储解决方案将容纳的一样(Security Onion具有内置机制,可在磁盘填满容量之前清除旧数据)。完整的数据包捕获就像是一个适合您网络的摄像机,但更好的是因为它不仅可以告诉我们来往的人,还可以告诉我们他们去了哪里以及他们携带或带走了什么(利用有效载荷,网络钓鱼电子邮件,文件泄漏) 。这是一个犯罪现场记录器,可以告诉我们很多关于受害者和当地受感染主机的白色粉笔轮廓。在受害者的身上肯定有有价值的证据,但主人的证据可能被摧毁或操纵; 相机不会撒谎,很难欺骗,并且可以捕获运输中的子弹。

基于网络和基于主机的入侵检测系统(IDS)分别分析网络流量或主机系统,并为检测到的事件和活动提供日志和警报数据。Security Onion提供多种IDS选项:

NIDS:

  • 规则驱动的NIDS。对于规则驱动的网络入侵检测,Security Onion提供Snort(http://snort.org/)或Suricata(http://suricata-ids.org/)的选择。基于规则的系统会查看网络流量,以查找与已知恶意,异常或其他可疑流量相匹配的指纹和标识符。您可能会说它们类似于网络的防病毒签名,但它们比这更加深入和灵活。
  • 分析驱动的NIDS。对于分析驱动的网络入侵检测,Security Onion提供了Bro Network Security Monitor,也称为Bro IDS(http://bro-ids.org/)。Bro由加州大学伯克利分校的国际计算机科学研究所开发和维护,并得到国家科学基金会的资助。与在大海捞针数据中寻找针头的基于规则的系统不同,Bro说,“这是你的所有数据,这就是我所见过的。你可以做什么,这是一个框架所以你可以。“兄弟监控网络活动并记录任何连接,DNS请求,检测到的网络服务和软件,SSL证书,HTTP,FTP,IRC SMTP,SSH,SSL和Syslog它所看到的活动,提供对网络上数据和事件上下文的真实深度和可见性。此外,Bro包含许多常用协议的分析器,默认情况下,它能够检查Team Cymru的恶意软件哈希注册表项目的HTTP文件下载的MD5总和。

除了记录活动和流量分析器之外,Bro框架还提供了一种非常可扩展的方式来实时分析网络数据。最近与REN-ISAC的集体智慧框架(CIF https://code.google.com/p/collective-intelligence-framework/)的集成提供了网络活动与最新社区情报源的实时关联,以便在何时提醒用户访问已知的恶意IP,域或URL。输入框架允许您将数据提供给Bro(可以编写脚本),例如,读取C级员工用户名的逗号分隔文件,并将其与其他活动相关联,例如从Internet下载可执行文件时。文件分析框架提供协议无关的文件分析,允许您在文件通过网络时捕获文件,并自动将文件传递到沙箱或文件共享以进行防病毒扫描。Bro的灵活性使其成为你防御中非常强大的盟友。

HIDS:

对于基于主机的入侵检测,Security Onion提供OSSEC(http://www.ossec.net/),这是一个面向Windows,Linux和Mac OS X的免费开源HIDS。当您将OSSEC代理添加到网络上的端点时,您可以从端点到网络的出口点获得宝贵的可见性。OSSEC执行日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和主动响应。Trend-Micro最初由Daniel Cid创建,于2009年收购OSSEC,并继续作为开源解决方案提供。作为分析师,能够将基于主机的事件与基于网络的事件相关联可能是识别成功攻击的不同之处。

分析工具

通过完整的数据包捕获,IDS日志和Bro数据,分析师可以轻松获得令人畏惧的数据量。幸运的是,Security Onion集成了以下工具来帮助理解这些数据:

  • Sguil(http://sguil.sourceforge.net/),由Bamm Visscher(@bammv)创建,是“网络安全监控的分析师控制台”。它是分析师的右手,提供对正在收集的事件数据和验证检测的上下文的可见性。Sguil提供单个GUI(用tcl / tk编写),用于查看Snort或Suricata警报,OSSEC警报,Bro HTTP事件和被动实时资产检测系统(PRADS)警报。更重要的是,Sguil允许您直接从警报“转移”到数据包捕获(通过Wireshark或NetworkMiner)或触发警报的完整会话的记录。因此,您可以查看所有关联的流量并实际回答该问题,而不是只看到与警报相关联的单个数据包并留下无法回答的问题“现在怎么办?”或“接下来发生了什么?”。另外,Sguil允许分析人员查询捕获的所有数据包,而不仅仅是那些涉及警报的数据包,因此您可以关联可能未触发任何警报但仍可能与恶意或不需要的活动相关联的流量。最后,Sguil允许分析师进行反向DNS和与警报相关的IP地址的whois查找。

Sguil与其他警报界面的不同之处在于,它允许分析师之间的协作,允许警报被评论并升级到可以对警报采取行动的更高级分析师。Sguil是主要的Security Onion工具,可以提供给定警报的最大上下文。

  • Squert(http://www.squertproject.org/)由Paul Halliday(@ 01110000)创建,是Sguil数据库的Web应用程序接口。虽然它既不是实时(或接近实时)的接口,也不是Sguil的替代品,但它允许查询Sguil数据库并为数据提供多种可视化选项,例如“时间序列表示,加权和逻辑”分组结果集“和地理IP映射。
  • 由Dustin Webber(@Mephux)创建的Snorby(https://snorby.org/)是一个Web应用程序界面,用于查看,搜索和分类Snort和Suricata警报并生成各种类型的报告,例如最活跃的IDS签名,最活跃的传感器,以及顶级源和目标IP地址。在capME的帮助下!插件,它还允许分析师转入包含触发警报的数据包的会话的记录,而不是只能看到触发它的单个数据包(类似于查看Sguil中的记录)。
  • 企业日志搜索和存档(ELSA https://code.google.com/p/enterprise-log-search-and-archive/由Martin Holste(@mcholste)创建的“是一个基于Syslog-NG,MySQL和Sphinx全文搜索的集中式系统日志框架。它提供了一个完全异步的基于Web的查询界面,可以对日志进行规范化,并使搜索数十亿个任意字符串变得像搜索Web一样简单快捷。它还包括用于分配查看日志以及基于电子邮件的警报,计划查询和图形的权限的工具。“简单地说,ELSA是一个强大的搜索工具,可以让您毫不费力地梳理安全收集的大部分数据。洋葱以及您转发给它的任何其他系统日志源,使您可以查看可以发送给ELSA的任何相关系统日志数据。此外,ELSA还通过Google Visualization API提供功能强大的图表和图形仪表板。

部署方案

Security Onion构建于分布式客户端 - 服务器模型之上。安全洋葱“传感器”是客户端,安全洋葱“服务器”就是服务器。服务器和传感器组件可以在单个物理机器或虚拟机上运行,�6�7�6�7或者多个传感器可以分布在整个基础架构中并配置为向指定的服务器报告。分析人员从客户端工作站(通常是Security Onion虚拟机安装)连接到服务器以执行查询和检索数据。

以下是三个Security Onion部署方案:

  1. 独立:独立安装由运行服务器和传感器组件以及相关进程的单个物理或虚拟机组成。独立安装可以有多个网络接口监视不同的网段。独立安装是监控可从单个位置访问的网络的最简单,最方便的方法。
  2. 服务器传感器:服务器传感器安装包括运行服务器组件的单个机器,其中一个或多个单独的机器运行传感器组件并向服务器报告。传感器运行所有嗅探过程并存储Sguil的相关数据包捕获,IDS警报和数据库; Snorby和ELSA。分析人员从单独的客户端计算机连接到服务器,并且发送到服务器的所有查询都被分发到适当的传感器,所请求的信息被定向回客户端。此模型通过将大量收集的数据保留在传感器上,直到分析师的客户端请求为止,从而减少了网络流量。服务器和传感器以及客户端和服务器之间的所有流量都受SSH加密隧道的保护。
  3. 混合:混合安装由独立安装组成,该安装还具有一个或多个单独的传感器,这些传感器向独立计算机的服务器组件报告。

Security Onion安装脚本允许您轻松配置最佳安装方案以满足您的需求。

私信回复 安全洋葱 获取下载链接

https://securityonion.net/


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6595351663450522125/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部