SecurityOnion

Name: SecurityOnion
Brand: OpenNix Cloud security

Обновлено 3 апреля 2025 г.

Security Onion — дистрибутив Linux, предназначенный для мониторинга безопасности, обнаружения инцидентов и анализа сетевого трафика. Он интегрирует ряд инструментов для создания комплексной платформы мониторинга, анализа и реагирования на события безопасности в сети.

Особенности Security Onion

Мониторинг безопасности сети (NSM): для анализа трафика в реальном времени, захвата пакетов и обнаружения вторжений используются инструменты Snort, Suricata и Zeek (ранее известный как Bro).
Управление журналами: для централизованного ведения, анализа и визуализации журналов применяются такие инструменты, как Elasticsearch, Logstash и Kibana (ELK). Это позволяет аналитикам безопасности легко искать, анализировать и коррелировать журналы из различных источников.
Реагирование на инциденты: для обнаружения и реагирования на инциденты предоставляются утилиты и процессы, включая инструменты для судебной экспертизы, анализа вредоносного программного обеспечения, поиска угроз.
Визуализация и отчетность: для мониторинга сетевого трафика, анализа событий безопасности и создания отчетов Security Onion предлагает настраиваемые панели и визуализации с интерфейсом Kibana.
Масштабируемость: Security Onion можно развернуть в различных сетевых архитектурах, от небольших однокомпонентных установок до крупных распределенных развертываний, что делает его подходящим для организаций разных размеров.
Открытый исходный код: Security Onion построен на открытом программном обеспечении, что позволяет пользователям настраивать и расширять платформу в соответствии с их конкретными требованиями к безопасности.

Инструкция по развертыванию

Важно

После создания виртуальной машины автоматически запустится процесс генерации настроек продукта, это необходимо для предоставления полного и безопасного продукта. Процесс занимает 40-50 минут, в зависимости от параметров виртуальной машины.

Получите пару SSH-ключей для подключения к виртуальной машине (ВМ).
Создайте сеть, в которой будет развернута ВМ с SecurityOnion.
Создайте две подсети в одной зоне доступности и в сети, в которой будет развернута ВМ с SecurityOnion.

Создайте группу безопасности в сети, в которой будет развернута ВМ с SecurityOnion, и настройте правила:

Направление<br/>трафика	Диапазон портов	Протокол	Источник	CIDR блоки /<br/>Группа безопасности
`Входящий`	`22`	`TCP`	`CIDR`	`0.0.0.0/0`
`Входящий`	`443`	`TCP`	`CIDR`	`0.0.0.0/0`
`Исходящий`	`-`	`Любой`	`CIDR`	`0.0.0.0/0`

Группа безопасности используется в сервисах Yandex Cloud для разграничения сетевого доступа объекта, к которому она применяется. Если назначить сетевому интерфейсу ВМ группу безопасности без правил, ВМ не сможет передавать и принимать трафик.

Создайте ВМ из публичного образа:
- на вкладке Marketplace в блоке Образ загрузочного диска в поле Поиск продукта введите SecurityOnion и выберите публичный образ SecurityOnion.
- в блоке Сетевые настройки:
  - в поле Подсеть выберите первую подсеть, в поле Группы безопасности выберите группу безопасности, созданную ранее.
  - нажмите Добавить сетевой интерфейс.
  - в поле Подсеть выберите вторую подсеть, в поле Группы безопасности выберите группу безопасности, созданную ранее.
- в блоке Доступ:
  - в поле Логин введите имя пользователя;
  - в поле SSH-ключ вставьте содержимое файла с открытым SSH-ключом.
  Сохраните публичный IP-адрес ВМ и логин.
Подключитесь к ВМ по SSH. Для этого используйте логин и публичный IP-адрес ВМ, сохраненные ранее.
Повысьте права пользователя до root:
```
sudo su
```
(Опционально) Для отслеживания процесса установки введите:
```
cat ../../var/log/messages
```
или
```
so-status
```
Примечание

Вы также можете отслеживать процесс установки через последовательный порт.
Получите пароль администратора из файла so-admin-password:
```
cat /root/so-admin-password
```
Скопируйте пароль. Он понадобится для доступа к веб-интерфейсу.
В браузере перейдите по адресу https://<публичный_IP-адрес_ВМ>/.
Для подключения к сервису используйте следующие параметры:
- Username — soadmin@so.local.
- Password — <пароль_из_файла_root_password>.
При необходимости смените пароль.

Примеры использования

Обнаружение вторжений в сеть (NIDS): SecurityOnion включает различные инструменты NIDS, такие как Suricata и Snort, которые анализируют сетевой трафик в реальном времени для обнаружения и оповещения о подозрительной активности, такой как вторжения, заражения вредоносным программным обеспечением и подозрительное сетевое поведение.
Мониторинг безопасности сети (NSM): SecurityOnion обеспечивает всесторонние возможности NSM путем захвата, индексации и анализа сетевого трафика. Это позволяет аналитикам безопасности выявлять инциденты безопасности, исследовать события безопасности и проводить форензический анализ.
Анализ логов: SecurityOnion агрегирует и анализирует логи из различных источников, таких как сетевые устройства, операционные системы, приложения и средства безопасности. Это помогает выявлять инциденты безопасности, отслеживать действия пользователей и обнаруживать аномалии.
Реагирование на инциденты: SecurityOnion помогает в действиях по реагированию на инциденты, обеспечивая видимость сетевого трафика, логов и активности систем. Это позволяет командам безопасности быстро обнаруживать, ограничивать и устранять инциденты безопасности, такие как утечки данных, заражения вредоносным программным обеспечением и несанкционированный доступ.
Поиск угроз: SecurityOnion поддерживает проактивные действия по поиску угроз, позволяя аналитикам безопасности искать индикаторы компрометации (IOC), подозрительные паттерны и аномальное поведение в сети. Это помогает выявлять скрытые угрозы и повышать общий уровень безопасности.
Форензический анализ: SecurityOnion включает инструменты и возможности для проведения форензического анализа сетевого трафика, логов и артефактов системы. Это помогает в восстановлении инцидентов безопасности, выявлении корневой причины нарушений безопасности и сборе доказательств для судебных разбирательств.
Анализ вредоносного программного обеспечения: SecurityOnion можно использовать для анализа и дизассемблирования образцов вредоносного программного обеспечения в контролируемой среде. Это помогает понять поведение вредоносного программного обеспечения, выявить его возможности и разработать контрмеры для защиты от будущих заражений.
Оценка уязвимостей: SecurityOnion может интегрироваться с инструментами сканирования уязвимостей для выявления уязвимостей в инфраструктуре сети, системах и приложениях. Это помогает определить приоритеты устранения недостатков и снизить поверхность атак.
Мониторинг соответствия: SecurityOnion помогает организациям соответствовать требованиям регулирующих органов путем обеспечения непрерывного мониторинга, ведения логов и отчетности. Это помогает демонстрировать соблюдение стандартов и рамок безопасности, таких как PCI DSS, HIPAA, GDPR.

Полезные ссылки

Ручная установка SecurityOnion в Yandex Cloud Интеграция pfSense с SecurityOnion Официальная документация

Техническая поддержка

OpenNix
OpenNix осуществляет техническую поддержку пользователей SecurityOnion в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки с 9:00 до 18:00 (МСК) по рабочим дням.

Yandex Cloud
Yandex Cloud не предоставляет техническую поддержку продукта. При возникновении проблем обращайтесь к информационным ресурсам разработчика.

Идентификаторы продукта

image_id:

fd86fvepc7jtigdst8j0

family_id:

opennix-securityonion

Состав продукта

ПО	Версия
Oracle Linux	9.3
SecurityOnion	2.4.60

Лицензионное соглашение

Используя данный продукт, вы соглашаетесь с Условиями использования Yandex Cloud Marketplace и с условиями использования следующих продуктов: EULA