securityonion安全洋葱介绍

安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如：Grafana、TheHive、Playbook、 Fleet / Osquery、Winlogbeat，集众多安全软件工具为一身的开源流量分析平台。

Securityonion的部署方式

配置文档

https://docs.securityonion.net/en/2.0/getting-started.html

securityonion-2.1.0-rc2基于DOCKER环境搭建、如果DOCKER命令不熟悉可以跳转到我的第一篇文章中查看DOCKER的扩展命令、后续我们会经常用到

下载地址

https://download.securityonion.net/file/securityonion/securityonion-2.1.0-rc2.isosecurityonion/DOWNLOAD_AND_VERIFY_ISO.md at 2.4/main · Security-Onion-Solutions/securityonion · GitHub

虚拟机配置要求：

系统Centos7 64位 、磁盘200G、内存最少12G、CPU4核

开始安装

新建虚拟机

稍后安装操作系统

选择centos7 64位

虚拟机名称和存放的位置

硬盘建议200G

点击完成 即可创建虚拟机

点击编辑虚拟机

内存设置8G

CPU设置4核

添加一快网卡

两快网卡都使用桥接模式

最后选择下载好的镜像点击确定即可

开启虚拟机、直接选择安装安全洋葱

直接回车

输入yes、之后创建安全洋葱系统账号，我这里创建的账号密码为:onion/admin123

回车后静静等待安装、安装的快慢取决于你电脑的配置，反正我安装了半小时....

安装系统镜像结束、按回车重启系统

重启后会让你输入账号密码、此账号密码就是刚刚安装时创建的onion/admin123

选择安装类型、按上下来切换、空格选中、tab切换到OK或者Cancel

设置主机名

选择管理网卡、这里我们选择ens33为管理网卡、ens34为镜像口

设置静态IP

因为是桥接模式需要查看本地IP地址、本地IP为192.168.0.4,我们在安全洋葱下配置地址为192.168.0.10

配置静态地址为192.168.0.10

掩码默认24位

设置网关

设置DNS

备用DNS

创建安全洋葱web登录账号密码、账号必须以邮件格式

创建密码

重复密码

界面登录的方法我们选择web登录

选择yes允许so-allow访问web工具、因为安装完成后我们要使用sudo so-allow 来启动web界面

这里IP直接为空、选择OK

点击yes 开始安装

开始安装进度

安装完成后重启

使用onion/admin123 登录到系统中、之后使用sudo so-allow 启动服务、密码为admin123，之后选择a回车后输入允许登录安全洋葱的主机地址

到此安全洋葱才算真正安装完成。

我们修改下root密码

运行sudo passwd，首次运行需要输入onion密码、输入成功后直接可以设置root密码

设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像

我们打开浏览器输入https://192.168.0.10,输入我们安装时候创建的web登录账号密码

admin@qq.com/admin123

Kibana 数据展示界面

Grafana 监控服务器应用运行状态

Cyberchef 界面、可以加密解密数据

Fleet 登录账号密码同安全洋葱账号一样 admin@qq.com/admin123

Thehive 登录账号密码同安全洋葱账号一样admin@qq.com/admin123

至此安全洋葱基本已经安装介绍完成、功能也基本完善，要抓取所有流量数据必须做端口镜像、否则抓不到攻击告警的数据流。下篇文章我将介绍如何在不同的设备上做端口镜像、以及Kibana、Fleet 、Thehive的使用方法及流量分析。

温馨提示：在虚拟机中安装完成一定要打快照哦.....