SecurityOnion Cluster

Какие задачи решает

SecurityOnion Cluster обеспечивает мониторинг сетевой безопасности, обнаружение вторжений и анализ угроз в облачной инфраструктуре Yandex Cloud. Продукт решает следующие задачи:

• Обнаружение сетевых вторжений в реальном времени с помощью Suricata (IDS/IPS) и анализа сетевого трафика Zeek
• Централизованный сбор, индексация и поиск событий безопасности через Elasticsearch
• Визуализация и расследование инцидентов через SOC (Security Onion Console) и Kibana
• Анализ подозрительных файлов с помощью Strelka (статический и динамический анализ)
• Управление парком агентов через Elastic Fleet

Ключевые характеристики

Распределенная архитектура. Кластер состоит из 1 узла ManagerSearch (центральное управление + локальный Elasticsearch) и N узлов SearchNode (выделенные узлы данных Elasticsearch). Количество поисковых узлов задается при развертывании (от 1 до 10).

SaltStack для управления конфигурацией. Вся конфигурация управляется через Salt — изменения на менеджере автоматически распространяются на все узлы кластера. Обновления, ротация сертификатов и масштабирование выполняются через Salt states.

Встроенные инструменты безопасности. SecurityOnion объединяет Suricata, Zeek, Elasticsearch, Kibana, Logstash, Redis, Strelka, ElastAlert, Elastic Fleet, Docker registry и другие компоненты в единую платформу с централизованным управлением.

Преимущества

• Готовый к работе кластер за 25-30 минут: все компоненты настраиваются автоматически
• Масштабируемое хранилище: добавление поисковых узлов увеличивает емкость индексации и поиска
• Автономная загрузка без интернета: все зависимости предустановлены в образ

Предварительная подготовка

1. Создайте сеть Yandex Virtual Private Cloud и подсети в трех зонах доступности: ru-central1-a, ru-central1-b и ru-central1-d. Также вы можете использовать существующие. Менеджер размещается в зоне a, поисковые узлы распределяются по всем трем зонам.

2. Создайте секрет Yandex Lockbox с паролем администратора. Секрет должен содержать запись с ключом admin_password:

yc lockbox secret create \
  --name so-admin-password \
  --payload "[{\"key\": \"admin_password\", \"text_value\": \"YOUR_ADMIN_PASSWORD\"}]"

Внимание: используйте надежные пароли. Минимальная длина — 9 символов.

3. Убедитесь что у вас есть SSH-ключ для доступа к ВМ.

Установка

• В консоли управления выберите каталог, в котором хотите развернуть приложение.
• Перейдите в сервис Cloud Apps.
• На панели слева выберите Магазин приложений.
• Выберите SecurityOnion Cluster и нажмите кнопку Использовать.
• Укажите:
  • Префикс для именования ресурсов
  • Подсеть VPC в зоне ru-central1-a (для менеджера и части поисковых узлов)
  • Подсеть VPC в зоне ru-central1-b (для поисковых узлов)
  • Подсеть VPC в зоне ru-central1-d (для поисковых узлов)
  • Секрет Lockbox с паролем администратора (выбирается из списка существующих секретов, должен содержать ключ admin_password)
  • Публичный SSH-ключ для доступа к ВМ
  • Количество поисковых узлов (от 1 до 10)
  • Email для входа в SOC
  • Тип окружения (Production / Development)

Доступ к консоли SOC

После завершения развертывания (25-30 минут):

1. Откройте консоль Yandex Cloud, перейдите в Compute Cloud.
2. Найдите ВМ manager и скопируйте публичный IP-адрес.
3. Откройте https://<manager-ip> в браузере, примите предупреждение о самоподписанном сертификате.
4. Войдите с указанным email и паролем из секрета Lockbox.

• Обнаружение вторжений в сеть (NIDS): SecurityOnion включает различные инструменты NIDS, такие как Suricata и Snort, которые анализируют сетевой трафик в реальном времени для обнаружения и оповещения о подозрительной активности, такой как вторжения, заражения вредоносным программным обеспечением и подозрительное сетевое поведение.

• Мониторинг безопасности сети (NSM): SecurityOnion обеспечивает всесторонние возможности NSM путем захвата, индексации и анализа сетевого трафика. Это позволяет аналитикам безопасности выявлять инциденты безопасности, исследовать события безопасности и проводить форензический анализ.

• Анализ логов: SecurityOnion агрегирует и анализирует логи из различных источников, таких как сетевые устройства, операционные системы, приложения и средства безопасности. Это помогает выявлять инциденты безопасности, отслеживать действия пользователей и обнаруживать аномалии.

• Реагирование на инциденты: SecurityOnion помогает в действиях по реагированию на инциденты, обеспечивая видимость сетевого трафика, логов и активности систем. Это позволяет командам безопасности быстро обнаруживать, ограничивать и устранять инциденты безопасности, такие как утечки данных, заражения вредоносным программным обеспечением и несанкционированный доступ.

• Поиск угроз: SecurityOnion поддерживает проактивные действия по поиску угроз, позволяя аналитикам безопасности искать индикаторы компрометации (IOC), подозрительные паттерны и аномальное поведение в сети. Это помогает выявлять скрытые угрозы и повышать общий уровень безопасности.

• Форензический анализ: SecurityOnion включает инструменты и возможности для проведения форензического анализа сетевого трафика, логов и артефактов системы. Это помогает в восстановлении инцидентов безопасности, выявлении корневой причины нарушений безопасности и сборе доказательств для судебных разбирательств.

• Анализ вредоносного программного обеспечения: SecurityOnion можно использовать для анализа и дизассемблирования образцов вредоносного программного обеспечения в контролируемой среде. Это помогает понять поведение вредоносного программного обеспечения, выявить его возможности и разработать контрмеры для защиты от будущих заражений.

• Оценка уязвимостей: SecurityOnion может интегрироваться с инструментами сканирования уязвимостей для выявления уязвимостей в инфраструктуре сети, системах и приложениях. Это помогает определить приоритеты устранения недостатков и снизить поверхность атак.

• Мониторинг соответствия: SecurityOnion помогает организациям соответствовать требованиям регулирующих органов путем обеспечения непрерывного мониторинга, ведения логов и отчетности. Это помогает демонстрировать соблюдение стандартов и рамок безопасности, таких как PCI DSS, HIPAA, GDPR.

OpenNix
OpenNix осуществляет техническую поддержку пользователей SecurityOnion в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки с 9:00 до 18:00 (МСК) по рабочим дням.