本文章节较长,建议仔细阅读,如时间不允许,可以收藏日后再看。
Security Onion是用于入侵检测,网络安全监控和日志管理的Linux发行版。它基于Ubuntu,包含Snort,Suricata,Bro,OSSEC,Sguil,Squert,ELSA,Xplico,NetworkMiner和许多其他安全工具。易于使用的安装向导允许您在几分钟内为您的企业构建大量分布式传感器。
它不是一个可以设置,离开并感到安全的银弹。什么都没有,如果这就是你要找的东西,你永远找不到它。Security Onion将提供有关警报和异常事件的网络流量和上下文的可见性,但它需要您的管理员或分析师承诺审查警报,监控网络活动,最重要的是,有意愿,热情和愿望学习。
核心组件:
Security Onion将三个核心功能无缝融合在一起:
· 完整数据包捕获;
· 基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS);
· 和强大的分析工具。
全包捕获通过netsniff-ng,“数据包嗅探野兽”完成。netsniff-ng捕获您的安全洋葱传感器看到并存储的所有流量,就像您的存储解决方案将容纳的一样(Security Onion具有内置机制,可在磁盘填满容量之前清除旧数据)。完整的数据包捕获就像是一个适合您网络的摄像机,但更好的是因为它不仅可以告诉我们来往的人,,还可以告诉我们他们去了哪里以及他们携带或带走了什么(利用有效载荷,网络钓鱼电子邮件,文件泄漏)。这是一个犯罪现场记录器,可以告诉我们很多关于受害者和当地受感染主机的白色粉笔轮廓。在受害者的身上肯定有有价值的证据,但主人的证据可能被摧毁或操纵; 相机不骗,
基于网络和基于主机的入侵检测系统(IDS)分别分析网络流量或主机系统,并为检测到的事件和活动提供日志和警报数据。SecurityOnion提供多种IDS选项:
