Security Onion: бесплатная платформа для обнаружения вторжений и мониторинга сети

Security Onion — это бесплатный дистрибутив с открытым исходным кодом, который объединяет систему обнаружения вторжений (IDS), сбор и анализ логов и сетевой мониторинг в одном инструменте. По сути, это готовый набор для того, чтобы «просветить» инфраструктуру компании насквозь и увидеть, что происходит на разных уровнях защиты. Платформу скачивают более 2 миллионов раз, и её активно используют команды безопасности, которым нужно круглосуточно следить за сетью и реагировать на угрозы.

Ключевое достоинство Security Onion — простая установка. Мастер настройки позволяет за несколько минут развернуть распределённую сеть сенсоров и собрать из них единую систему мониторинга.

Из чего состоит Security Onion

Дистрибутив собирает под одной крышей сразу несколько известных инструментов безопасности: Fleet, CyberChef, Playbook, TheHive, Kibana, Suricata, Elasticsearch и другие. Разберём основные компоненты:

  • Squert — веб-приложение для запросов и просмотра событий IDS; данные хранятся в базе Sguil, поддерживается визуализация временных рядов и интеграция с CapMe.
  • Snort — лёгкая система обнаружения вторжений.
  • Zeek (ранее известен как Bro) — открытая платформа для сетевого мониторинга безопасности.
  • CyberChef — веб-приложение примерно с 300 операциями для быстрого кодирования, шифрования и преобразования данных.
  • Sguil — консольный инструмент, который сводит данные от Snort, Wazuh и Suricata в единый графический интерфейс, даёт контекст по каждому алерту для детального анализа и поддерживает совместную работу команды.
  • Kibana — разработка компании Elastic, которая собирает все логи в единую панель событий.
  • CapMe — позволяет просматривать транскрипты PCAP и скачивать полные файлы захвата трафика.
  • NetworkMiner — инструмент сетевой криминалистики, который, в частности, определяет открытые порты и умеет разбирать PCAP-файлы для офлайн-анализа.

Как это работает

Центром платформы служит Kibana, вокруг которой собран целый набор технологий, включая форк Wazuh — открытую хостовую систему обнаружения вторжений. Сетевой трафик анализируют Suricata и Snort (работают по правилам) и Zeek (анализ на основе поведения сети, как и Bro).

Logstash собирает все данные в единый поток логов, а Elasticsearch индексирует их, делая доступными и удобными для поиска. Kibana визуализирует эти данные и позволяет аналитикам центра мониторинга безопасности (SOC) видеть полную картину, углубляясь до отдельных пакетов. Sguil дополняет эту связку: аналитики получают в одном месте данные от Wazuh, Snort, Suricata и других инструментов вместе с доступом к соответствующему захвату пакетов.

Когда стоит использовать Security Onion

Разработчики платформы выделяют несколько сценариев применения:

  • как учебный инструмент — в режиме оценки, для настройки сетевых интерфейсов;
  • для криминалистики PCAP — анализ характеристик сетевого трафика на основе перехваченных файлов;
  • как продуктивный сервер — доступны как распределённый, так и автономный режим работы;
  • как аналитическая виртуальная машина — для проведения цифровой криминалистики;
  • для наполнения SIEM — как источник данных для внешней SIEM-системы.

Кому подойдёт Security Onion

Для разработчиков и администраторов Security Onion — почти универсальное решение по безопасности, но для получения максимальной пользы от системы всё равно требуется опытный специалист, способный грамотно анализировать алерты и принимать решения на основе полученной информации. Многие профессионалы в области безопасности предпочитают собирать собственный набор инструментов под конкретную сеть, поскольку у разных инфраструктур разные потребности.

Выбор конкретного дистрибутива зависит от задачи: если нужен инструмент для этичного хакинга и тестирования на проникновение, лучше подойдёт Kali Linux. А если задача — постоянный мониторинг сетевого трафика и событий, Security Onion станет одним из самых полезных инструментов.

Перед внедрением в продуктив стоит опробовать платформу в тестовом режиме — благо она бесплатна и доступна для скачивания на GitHub.

Источник: Cybersecurity News.