当前位置:   article > 正文

Security Onion安全洋葱架构概述

security onion

一.安全洋葱核心功能
官网:https://securityonion.net/
Security Onion将三个核心功能无缝融合在一起:
1.完整数据包捕获;
2.基于网络和基于主机的入侵检测系统(分别为NIDS和HIDS);
3.强大的分析工具。

二.安全洋葱框架图
在这里插入图片描述

三.安全洋葱框架介绍(只针对NIDS)
安全洋葱主要由流量采集,流量分析,日志解析,事件检索,分析工具5个组件组成。
1.流量采集组件
采集网口中的完成流量包
(1)netsniff-ng
捕获完整流量包
2.流量分析组件
和netsniff-ng组件独立,实时监控和分析当前网络流量
(1)Bro
实时基于分析驱动的分析检测流量,输出分析日志,不保存原始流量
(2)Snort/Suricata
实时基于规则分析检测流量,输出分析日志,默认unified2格式,分析结果可以通过Sguil,Elasticsearch查看,不保存原始流量
3.日志解析组件
解析和正则化Bro,Snort/Suricata生成的日志文件,生成事件,供Elasticsearch
检索
(1)Logstash
是一个开源的服务器端数据处理管道,它同时从多个源中提取数据,对其进行转换,然后将其发送到存储点,由bro生成的log和Snort/Suricata生成的分析结果日志,经过解析和正则化后生成的日志组成,因为使用的是进程通信管道,所以有队列,分为磁盘队列和内存队列,队列中的单位为事件
4.事件检索组件
对Logstash生成的事件进行管理和检索。
(1)Elasticsearch
摄取和索引日志,输入数据为Logstash,是一个分布式RESTful(一种软件设计风格)搜索和分析引擎,其中Elasticsearch由4个小组件组成:
a.Curator
用于定期管理Elasticsearch索引和快照
b.DomainStats
通过上下文获取域名的附加信息,例如创建时间,年龄,信誉(确定域是否是Alexa / Cisco Umbrella前100万个站点的成员),domain_stats.py,它被开发用于与SIEM结合使用并且在生产环境中。具体来说,它已与弹性堆栈结合使用,例如Logstash查询,取得了巨大成功。在Production Mode使用Best Practices模式下是不开启的,要自己单独开启,并且需要互联网,需要连接到外网的whois服务器
c.ElastAlert
是一个简单的框架,基于规则,用于告警Elasticsearch中数据的异常,还有多种警报机制,例如Slack,Email
d.FreqServer
检测DGA和查找随机文件名,脚本名称,进程名称,服务名称,工作站名称,TLS证书主题和颁发者主题等,基于freq.py和freq_server.py,在Production Mode使用Best Practices模式下是不开启的,要自己单独开启。
5.分析工具
安全洋葱提供多种可视化事件追溯,分析工具。
(1)Sguil
用于查看Snort或Suricata警报,和Bro HTTP事件。更重要的是,Sguil允许您直接从警报“转移”到数据包捕获(通过Wireshark或NetworkMiner)或触发警报的完整会话的记录。本质是mysql数据库
(2)Squert
服务于Sguil,它允许查询Sguil数据库并为数据提供多种可视化选项,例如“时间序列表示,加权和逻辑”分组结果集“和地理IP映射等,还尝试通过使用元数据,时间序列表示以及加权和逻辑分组的结果集来为事件提供额外信息
(3)Kibana
可视化,可以快速分析和转换so生成的不同的数据类型,最主要的目的是配合Elasticsearch工作,进行高级数据分析
6.其它分析工具
(1)CapME
主要服务于sguil,也是一个web界面,主要功能
a.查看使用tcpflow呈现的pcap脚本
b.查看用Bro渲染的pcap脚本(特别有助于处理gzip编码)
c.下载一个pcap

四.安全洋葱文件路径
1./usr/sbin/so-* 该目录下存放的所有组件的启动,关闭服务等
2./etc/nsm so的配置和数据
(1) rules 该文件夹包含了Snort/Suricatad等规则
3./nsm 存放so收集输出的所有数据,子目录如下:
(1)bro 主要存放bro组件产生的日志
(2)elasticsearch
(3)import
(4)logstash
(5)sensor_data 传感器收集到的日志
a.dailylogs主要存放netsniff-ng抓到的完整流量包
b.snort.unified2.时间戳 Snort/Suricata输出的ids检测结果,但是unified2格式,查看或者获取可以通过sguil,或者mysql中的数据表
(6)server_data
5./etc/logstash logstash 的配置目录
6./etc/elastalert ElastAlert的配置目录
7./etc/Kibana kibana的配置文件
8./opt 安全洋葱so组件的源代码

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号