一. Security onion介绍
Security Onion是免费的开源Linux发行版,用于入侵检测,企业安全监视和日志管理。包括Elasticsearch,Logstash,Kibana,Snort,Suricata,Bro,Wazuh,Sguil,Squit,CyberChef,NetworkMiner和许多其他安全工具。Security Onion是网络安全监控,流量分析人员的必备利器。
社区网址为:https://securityonion.net
公司网址为:https://securityonionsolutions.com;
github网址为:https://github.com/Security-Onion-Solutions/
二. 安装环境要求
1.部署方式:Security onion有几种部署方式,包括实验室环境部署(单机)、生产服务器独立部署、生产服务器分布式部署。本文档主要部署是单机部署,使用虚拟机环境部署。
2.硬件要求:security Onion仅支持x86-64架构(标准Intel / AMD 64位处理器),建议8g内存、4核cpu、100G以上硬盘,硬盘用SSD最好。
3.镜像选择:security Onion的安装有两种,一是直接安装Security Onion 16.04 ISO镜像,二是基于包含HWE堆栈的Ubuntu镜像(如Ubuntu Server)来安装,然后添加Security Onion PPA和软件包,需要注意的是PPA和软件包仅与Ubuntu 16.04兼容。
注意:本文档选择Security Onion 16.04 ISO镜像来安装。
下载地址:
https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md
备注:国内该镜像下载奇慢,若有需要可向IRT团队索取。
三. 安装
1.创建VM
按照以下步骤在VMware中安装Security Onion ISO映像:
1) 从VMWare中,选择文件>>新建虚拟机。
2) 选择典型安装>>单击Next。
3) 安装程序光盘映像文件>> SO ISO文件路径>>单击Next。
4) 选择Linux,Ubuntu 64位,然后单击Next。
5) 指定虚拟机名称,然后单击Next。
6) 指定磁盘大小,存储为单个文件,单击Next。
7) 定制硬件:
8) 内存– 8GB或更多
9) 处理器– 4个或更多CPU内核
10) 网络适配器(NAT)-管理接口。
11) 添加>>网络适配器(桥接)-监测接口。
12) 点击Close。
13) 点击Finish。
14) 打开虚拟机电源,选择默认的引导菜单选项启动系统。
2.开始安装security onion
1) 出现桌面后,双击图标Install SecurityOnion。
2) 按照安装程序中的提示进行操作。如果系统提示 encrypt home folder
或encrypt partition选项,不要启用此功能。如果询问自动更新,请勿启用自动更新。
选中文,点“继续”
先暂时不选更新,点“继续”
清除磁盘并安装security onion ,点“继续”
创建登录系统的用户名和密码
开始安装,等待完成
安装完成,重启
3) 安装程序完成后,重新启动,并使用在安装过程中指定的用户名和密码登录。
输入设置的账号密码登录
4)双击安装程序setup图标启动安装程序。(按图往下)
选择管理接口
配置监测口
5)重新启动后,双击setup启动安装程序。
设置登录security onion的账号密码
安装完成,拿起小本本记录一下这些路径。
四. 安装完成后的检查和更新
1. 验证是否安装成功
1)验证服务是否正在运行:
sudo so-status
2)如果没有任何服务在运行,用以下命令启动程序:
sudo so-start
2. 更新规则
sudo apt-get update && sudo apt-get dist-upgrade
