Security Onion — это бесплатный дистрибутив с открытым исходным кодом, который объединяет систему обнаружения вторжений (IDS), сбор и анализ логов и сетевой мониторинг в одном инструменте. По сути, это готовый набор для того, чтобы «просветить» инфраструктуру компании насквозь и увидеть, что происходит на разных уровнях защиты. Платформу скачивают более 2 миллионов раз, и её активно используют команды безопасности, которым нужно круглосуточно следить за сетью и реагировать на угрозы.
Ключевое достоинство Security Onion — простая установка. Мастер настройки позволяет за несколько минут развернуть распределённую сеть сенсоров и собрать из них единую систему мониторинга.
Из чего состоит Security Onion
Дистрибутив собирает под одной крышей сразу несколько известных инструментов безопасности: Fleet, CyberChef, Playbook, TheHive, Kibana, Suricata, Elasticsearch и другие. Разберём основные компоненты:
- Squert — веб-приложение для запросов и просмотра событий IDS; данные хранятся в базе Sguil, поддерживается визуализация временных рядов и интеграция с CapMe.
- Snort — лёгкая система обнаружения вторжений.
- Zeek (ранее известен как Bro) — открытая платформа для сетевого мониторинга безопасности.
- CyberChef — веб-приложение примерно с 300 операциями для быстрого кодирования, шифрования и преобразования данных.
- Sguil — консольный инструмент, который сводит данные от Snort, Wazuh и Suricata в единый графический интерфейс, даёт контекст по каждому алерту для детального анализа и поддерживает совместную работу команды.
- Kibana — разработка компании Elastic, которая собирает все логи в единую панель событий.
- CapMe — позволяет просматривать транскрипты PCAP и скачивать полные файлы захвата трафика.
- NetworkMiner — инструмент сетевой криминалистики, который, в частности, определяет открытые порты и умеет разбирать PCAP-файлы для офлайн-анализа.
Как это работает
Центром платформы служит Kibana, вокруг которой собран целый набор технологий, включая форк Wazuh — открытую хостовую систему обнаружения вторжений. Сетевой трафик анализируют Suricata и Snort (работают по правилам) и Zeek (анализ на основе поведения сети, как и Bro).
Logstash собирает все данные в единый поток логов, а Elasticsearch индексирует их, делая доступными и удобными для поиска. Kibana визуализирует эти данные и позволяет аналитикам центра мониторинга безопасности (SOC) видеть полную картину, углубляясь до отдельных пакетов. Sguil дополняет эту связку: аналитики получают в одном месте данные от Wazuh, Snort, Suricata и других инструментов вместе с доступом к соответствующему захвату пакетов.
Когда стоит использовать Security Onion
Разработчики платформы выделяют несколько сценариев применения:
- как учебный инструмент — в режиме оценки, для настройки сетевых интерфейсов;
- для криминалистики PCAP — анализ характеристик сетевого трафика на основе перехваченных файлов;
- как продуктивный сервер — доступны как распределённый, так и автономный режим работы;
- как аналитическая виртуальная машина — для проведения цифровой криминалистики;
- для наполнения SIEM — как источник данных для внешней SIEM-системы.
Кому подойдёт Security Onion
Для разработчиков и администраторов Security Onion — почти универсальное решение по безопасности, но для получения максимальной пользы от системы всё равно требуется опытный специалист, способный грамотно анализировать алерты и принимать решения на основе полученной информации. Многие профессионалы в области безопасности предпочитают собирать собственный набор инструментов под конкретную сеть, поскольку у разных инфраструктур разные потребности.
Выбор конкретного дистрибутива зависит от задачи: если нужен инструмент для этичного хакинга и тестирования на проникновение, лучше подойдёт Kali Linux. А если задача — постоянный мониторинг сетевого трафика и событий, Security Onion станет одним из самых полезных инструментов.
Перед внедрением в продуктив стоит опробовать платформу в тестовом режиме — благо она бесплатна и доступна для скачивания на GitHub.
Источник: Cybersecurity News.