securityonion安全洋葱介绍
安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如:Grafana、TheHive、Playbook、 Fleet / Osquery、Winlogbeat,集众多安全软件工具为一身的开源流量分析平台。
Securityonion的部署方式
配置文档
https://docs.securityonion.net/en/2.0/getting-started.html
securityonion-2.1.0-rc2基于DOCKER环境搭建、如果DOCKER命令不熟悉可以跳转到我的第一篇文章中查看DOCKER的扩展命令、后续我们会经常用到
下载地址
https://download.securityonion.net/file/securityonion/securityonion-2.1.0-rc2.isosecurityonion/DOWNLOAD_AND_VERIFY_ISO.md at 2.4/main · Security-Onion-Solutions/securityonion · GitHub
虚拟机配置要求:
系统Centos7 64位 、磁盘200G、内存最少12G、CPU4核
开始安装
新建虚拟机
稍后安装操作系统
选择centos7 64位
虚拟机名称和存放的位置
硬盘建议200G
点击完成 即可创建虚拟机
点击编辑虚拟机
内存设置8G
CPU设置4核
添加一快网卡
两快网卡都使用桥接模式
最后选择下载好的镜像点击确定即可
开启虚拟机、直接选择安装安全洋葱
直接回车
输入yes、之后创建安全洋葱系统账号,我这里创建的账号密码为:onion/admin123
回车后静静等待安装、安装的快慢取决于你电脑的配置,反正我安装了半小时....
安装系统镜像结束、按回车重启系统
重启后会让你输入账号密码、此账号密码就是刚刚安装时创建的onion/admin123
选择安装类型、按上下来切换、空格选中、tab切换到OK或者Cancel
设置主机名
选择管理网卡、这里我们选择ens33为管理网卡、ens34为镜像口
设置静态IP
因为是桥接模式需要查看本地IP地址、本地IP为192.168.0.4,我们在安全洋葱下配置地址为192.168.0.10
配置静态地址为192.168.0.10
掩码默认24位
设置网关
设置DNS
备用DNS
创建安全洋葱web登录账号密码、账号必须以邮件格式
创建密码
重复密码
界面登录的方法我们选择web登录
选择yes允许so-allow访问web工具、因为安装完成后我们要使用sudo so-allow 来启动web界面
这里IP直接为空、选择OK
点击yes 开始安装
开始安装进度
安装完成后重启
使用onion/admin123 登录到系统中、之后使用sudo so-allow 启动服务、密码为admin123,之后选择a回车后输入允许登录安全洋葱的主机地址
到此安全洋葱才算真正安装完成。
我们修改下root密码
运行sudo passwd,首次运行需要输入onion密码、输入成功后直接可以设置root密码
设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像
我们打开浏览器输入https://192.168.0.10,输入我们安装时候创建的web登录账号密码
Kibana 数据展示界面
Grafana 监控服务器应用运行状态
Cyberchef 界面、可以加密解密数据
Fleet 登录账号密码同安全洋葱账号一样 admin@qq.com/admin123
Thehive 登录账号密码同安全洋葱账号一样admin@qq.com/admin123
至此安全洋葱基本已经安装介绍完成、功能也基本完善,要抓取所有流量数据必须做端口镜像、否则抓不到攻击告警的数据流。下篇文章我将介绍如何在不同的设备上做端口镜像、以及Kibana、Fleet 、Thehive的使用方法及流量分析。
温馨提示:在虚拟机中安装完成一定要打快照哦.....