Security Onion - это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и содержит Snort, Suricata, Bro, OSSEC, Sguil, Squert, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании мастер настройки позволяет за считанные минуты создать армию распределенных датчиков для вашего предприятия.
Это не серебряная пуля, которую вы можете настроить, уйти от нее и почувствовать себя в безопасности. Ничего нет, и если это то, что вы ищете, вы никогда этого не найдете. Security Onion обеспечит видимость вашего сетевого трафика и контекста вокруг предупреждений и аномальных событий, но для этого требуется от вас, администратора или аналитика, обязательство просматривать предупреждения, отслеживать сетевую активность и, что наиболее важно, иметь готовность, энтузиазм и желание учиться.
Основные компоненты:
Security Onion органично сочетает в себе три основные функции:
- Полный захват пакетов;
- Системы обнаружения вторжений на основе сети и хоста (NIDS и HIDS соответственно);
- и мощные инструменты анализа.
Полный захват пакетавыполняется с помощью netsniff-ng (http://netsniff-ng.org/), «зверя, перехватывающего пакеты». netsniff-ng захватывает весь трафик, который видят ваши датчики Security Onion, и сохраняет столько, сколько может вместить ваше хранилище (Security Onion имеет встроенный механизм для очистки старых данных до того, как ваши диски заполнятся до полной емкости). Полный захват пакетов похож на видеокамеру для вашей сети, но лучше, потому что она не только может сказать нам, кто пришел и ушел, но также точно, куда они пошли и что они принесли или взяли с собой (использование полезных данных, фишинговые электронные письма, эксфильтрация файлов) . Это регистратор места преступления, который может многое рассказать нам о жертве и белом меловом контуре скомпрометированного хоста на земле. Несомненно, на теле жертвы можно найти ценные улики, но доказательства на хозяине можно уничтожить или подделать; камера не врет,
Сетевые и хост-системы обнаружения вторжений (IDS) анализируют сетевой трафик или хост-системы, соответственно, и предоставляют данные журналов и предупреждений для обнаруженных событий и активности. Security Onion предоставляет несколько вариантов IDS:
NIDS:
- NIDS, управляемая правилами . Для обнаружения сетевых вторжений на основе правил Security Onion предлагает на выбор Snort (http://snort.org/) или Suricata (http://suricata-ids.org/). Системы на основе правил проверяют сетевой трафик на наличие отпечатков пальцев и идентификаторов, которые соответствуют известному вредоносному, аномальному или иному подозрительному трафику. Вы можете сказать, что они похожи на сигнатуры антивируса для сети, но они немного глубже и гибче, чем это.
- NIDS, управляемая анализом.Для обнаружения сетевых вторжений на основе анализа Security Onion предлагает Bro Network Security Monitor, также известный как Bro IDS (http://bro-ids.org/). Bro разработан и поддерживается Международным институтом компьютерных наук Калифорнийского университета в Беркли при финансовой поддержке Национального научного фонда. В отличие от систем, основанных на правилах, которые ищут иголки в стоге данных, Бро говорит: «Вот все ваши данные, и это то, что я видел. Делайте с ним, что хотите, и вот структура, чтобы вы могли ». Bro отслеживает сетевую активность и регистрирует любые соединения, DNS-запросы, обнаруженные сетевые службы и программное обеспечение, сертификаты SSL, а также активность HTTP, FTP, IRC SMTP, SSH, SSL и Syslog, которую он видит, обеспечивая реальную глубину и видимость в контексте данные и события в вашей сети. Кроме того, Bro включает в себя анализаторы для многих распространенных протоколов и по умолчанию имеет возможность проверять суммы MD5 для загрузки файлов HTTP по проекту Team Cymru Malware Hash Registry. Помимо регистрации активности и анализаторов трафика, платформа Bro предоставляет очень расширяемый способ анализа сетевых данных в реальном времени. Недавняя интеграция со структурой коллективного разума REN-ISAC (CIF http://csirtgadgets.org/collective-intelligence-framework/) обеспечивает корреляцию сетевой активности в реальном времени с обновленными информационными потоками сообщества, чтобы предупреждать, когда пользователи обращаются к известным вредоносным объектам. IP-адреса, домены или URL-адреса. Платформа ввода позволяет вам передавать данные в Bro, который может быть написан, например, для чтения файла с разделителями-запятыми имен пользователей сотрудников C-уровня и сопоставления его с другими действиями, например, когда они загружают исполняемый файл из Интернета. Платформа анализа файлов обеспечивает независимый от протокола анализ файлов, позволяя вам захватывать файлы, когда они проходят через вашу сеть, и автоматически передавать их в песочницу или общую папку для антивирусного сканирования. Гибкость Bro делает его невероятно сильным союзником в вашей защите.
- Для обнаружения вторжений на основе хоста Security Onion предлагает OSSEC (http://www.ossec.net/), бесплатный HIDS с открытым исходным кодом для Windows, Linux и Mac OS X. Когда вы добавляете агент OSSEC к конечным точкам в вашей сети , вы получаете бесценный обзор от конечной точки до точки выхода из вашей сети. OSSEC выполняет анализ журналов, проверку целостности файлов, мониторинг политик, обнаружение руткитов, оповещение в реальном времени и активный ответ. Первоначально созданная Дэниелом Сидом, компания Trend-Micro приобрела OSSEC в 2009 году и продолжает предлагать ее как решение с открытым исходным кодом. Как аналитик, способность соотносить события на хосте с сетевыми событиями может быть решающим фактором в идентификации успешной атаки.
Благодаря полному захвату пакетов, журналам IDS и данным Bro, у аналитика всегда под рукой огромный объем данных. К счастью, Security Onion объединяет следующие инструменты, помогающие разобраться в этих данных:
- Сгуил(http://sguil.sourceforge.net/), созданный Баммом Висшером (@bammv), представляет собой «Консоль аналитика для мониторинга сетевой безопасности». Это правая рука аналитика, обеспечивающая видимость собираемых данных о событиях и контекста для подтверждения обнаружения. Sguil предоставляет единый графический интерфейс (написанный на tcl / tk) для просмотра предупреждений Snort или Suricata, предупреждений OSSEC, событий Bro HTTP и предупреждений пассивной системы обнаружения активов в реальном времени (PRADS). Что еще более важно, Sguil позволяет вам «переключаться» непосредственно из предупреждения в захват пакета (через Wireshark или NetworkMiner) или в расшифровку полного сеанса, вызвавшего предупреждение. Таким образом, вместо того, чтобы видеть только отдельный пакет, связанный с предупреждением, и оставлять без ответа вопрос, "Что теперь?" или "Что случилось потом?" вы можете просмотреть весь связанный трафик и фактически ответить на этот вопрос. Кроме того, Sguil позволяет аналитику запрашивать все захваченные пакеты, а не только те, которые связаны с предупреждением, поэтому вы можете сопоставить трафик, который, возможно, не инициировал никаких предупреждений, но все же может быть связан с вредоносной или нежелательной активностью. Наконец, Sguil позволяет аналитику выполнять обратный поиск DNS и whois IP-адресов, связанных с предупреждениями. Sguil отличается от других интерфейсов оповещений тем, что позволяет сотрудничать между аналитиками, позволяя комментировать оповещения и передавать их более старшим аналитикам, которые могут принимать меры по оповещениям. Sguil - это основной инструмент Security Onion, обеспечивающий максимальное количество контекста для данного предупреждения. не только тех, кто связан с предупреждением, поэтому вы можете сопоставить трафик, который, возможно, не инициировал никаких предупреждений, но все же может быть связан с вредоносной или нежелательной активностью. Наконец, Sguil позволяет аналитику выполнять обратный поиск DNS и whois IP-адресов, связанных с предупреждениями. Sguil отличается от других интерфейсов оповещений тем, что позволяет сотрудничать между аналитиками, позволяя комментировать оповещения и передавать их более старшим аналитикам, которые могут принимать меры по оповещениям. Sguil - это основной инструмент Security Onion, обеспечивающий максимальное количество контекста для данного предупреждения. не только тех, кто связан с предупреждением, поэтому вы можете сопоставить трафик, который, возможно, не инициировал никаких предупреждений, но все же может быть связан с вредоносной или нежелательной активностью. Наконец, Sguil позволяет аналитику выполнять обратный поиск DNS и whois IP-адресов, связанных с предупреждениями. Sguil отличается от других интерфейсов оповещений тем, что позволяет сотрудничать между аналитиками, позволяя комментировать оповещения и передавать их более старшим аналитикам, которые могут принимать меры по оповещениям. Sguil - это основной инструмент Security Onion, обеспечивающий максимальное количество контекста для данного предупреждения. Sguil отличается от других интерфейсов оповещений тем, что позволяет сотрудничать между аналитиками, позволяя комментировать оповещения и передавать их более старшим аналитикам, которые могут принимать меры по оповещениям. Sguil - это основной инструмент Security Onion, обеспечивающий максимальное количество контекста для данного предупреждения. Sguil отличается от других интерфейсов оповещений тем, что позволяет сотрудничать между аналитиками, позволяя комментировать оповещения и передавать их более старшим аналитикам, которые могут принимать меры по оповещениям. Sguil - это основной инструмент Security Onion, обеспечивающий максимальное количество контекста для данного предупреждения.
- Squert (http://www.squertproject.org/), созданный Полом Халлидеем (@ 01110000), представляет собой интерфейс веб-приложения для базы данных Sguil. Хотя он не предназначен ни для интерфейса реального времени (или почти реального времени), ни для замены Sguil, он позволяет запрашивать базу данных Sguil и предоставляет несколько вариантов визуализации данных, таких как «представления временных рядов, взвешенные и логически сгруппированные наборы результатов »и отображение гео-IP.
- Поиск и архив корпоративных журналов(ELSA https://code.google.com/p/enterprise-log-search-and-archive/), созданный Мартином Холсте (@mcholste), представляет собой «централизованную структуру системного журнала, построенную на Syslog-NG, MySQL и Полнотекстовый поиск Sphinx. Он предоставляет полностью асинхронный веб-интерфейс запросов, который нормализует журналы и делает поиск в миллиардах их произвольных строк таким же простым и быстрым, как поиск в Интернете. Он также включает инструменты для назначения разрешений на просмотр журналов, а также оповещений по электронной почте, запланированных запросов и построения графиков ». Говоря простым языком, ELSA - это мощный инструмент поиска, который позволяет вам легко просматривать большую часть всех данных, собранных Security Onion, а также любых дополнительных источников системного журнала, которые вы отправляете ему, обеспечивая видимость любых соответствующих данных системного журнала, которые вы можете отправить. в ELSA. Кроме того, ELSA предлагает мощные панели инструментов для построения диаграмм и графиков через API визуализации Google. Трудно понять мощь ELSA, не увидев ее действия (что вы можете сделать на).
Сценарии развертывания:
Security Onion построен на распределенной модели клиент-сервер. «Датчик» Security Onion - это клиент, а «Server» Security Onion - это, в общем, сервер. Компоненты сервера и датчиков могут быть запущены на одной физической или виртуальной машине, либо несколько датчиков могут быть распределены по инфраструктуре и настроены для отправки отчетов на назначенный сервер. Аналитик подключается к серверу с клиентской рабочей станции (обычно это установка виртуальной машины Security Onion) для выполнения запросов и получения данных.
Ниже приведены три сценария развертывания Security Onion:
- Автономная установка: автономная установка состоит из одной физической или виртуальной машины, на которой запущены как сервер, так и компоненты датчиков и связанные процессы. Автономная установка может иметь несколько сетевых интерфейсов, контролирующих разные сегменты сети. Автономная установка - это самый простой и удобный способ мониторинга сети или сетей, доступных из одного места.
- Сервер-датчик: установка сервер-датчик состоит из одной машины, на которой запущен серверный компонент, с одной или несколькими отдельными машинами, на которых запущен компонент датчика и отправляет отчеты на сервер. Датчики запускают все процессы сниффинга и хранят связанные перехваты пакетов, предупреждения IDS и базы данных для Sguil и ELSA. Аналитик подключается к серверу с отдельной клиентской машины, и все запросы, отправленные на сервер, распределяются на соответствующий датчик (и), а запрошенная информация направляется обратно клиенту. Эта модель снижает сетевой трафик, сохраняя большую часть собранных данных на датчиках до тех пор, пока клиент аналитика не запросит их. Весь трафик между сервером и датчиками зашифрован, а весь трафик между клиентом и сервером зашифрован.
- Гибрид: Гибридная установка состоит из автономной установки, которая также имеет один или несколько отдельных датчиков, сообщающих серверному компоненту автономной машины.