Security-Onion-Solutions安全洋葱安装方法

Posted 2023-04-05 信息安全兴趣爱好者

Security-Onion-Solutions安全洋葱安装方法

securityonion安全洋葱介绍：

安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如：Grafana、TheHive、Playbook、         Fleet / Osquery、Winlogbeat，集众多安全软件工具为一身的开源流量分析平台

Securityonion的部署方式

配置文档

https://docs.securityonion.net/en/2.0/getting-started.html

securityonion-2.1.0-rc2基于DOCKER环境搭建、如果DOCKER命令不熟悉可以跳转到我的第一篇文章中查看DOCKER的扩展命令、后续我们会经常用到

下载地址

https://download.securityonion.net/file/securityonion/securityonion-2.1.0-rc2.iso

虚拟机配置要求：

系统Centos7 64位 、磁盘200G、内存最少12G、CPU4核

开始安装

新建虚拟机

稍后安装操作系统

选择centos7 64位

虚拟机名称和存放的位置

硬盘建议200G

点击完成 即可创建虚拟机

点击编辑虚拟机

内存设置8G

CPU设置4核

添加一快网卡

两快网卡都使用桥接模式

最后选择下载好的镜像点击确定即可

开启虚拟机、直接选择安装安全洋葱

输入yes、之后创建安全洋葱系统账号，我这里创建的账号密码为:onion/admin123

回车后静静等待安装、安装的快慢取决于你电脑的配置，反正我安装了半小时....

安装系统镜像结束、按回车重启系统

重启后会让你输入账号密码、此账号密码就是刚刚安装时创建的onion/admin123

选择安装类型、按上下来切换、空格选中、tab切换到OK或者Cancel下

设置主机名

选择管理网卡、这里我们选择ens33为管理网卡、ens34为镜像口

设置静态IP

因为是桥接模式需要查看本地IP地址、本地IP为192.168.0.4,我们在安全洋葱下配置地址为192.168.0.10

配置静态地址为192.168.0.10

掩码默认24位

设置网关

设置DNS

备用DNS

创建安全洋葱web登录账号密码、账号必须以邮件格式

创建密码

重复密码

界面登录的方法我们选择web登录

选择yes允许so-allow访问web工具、因为安装完成后我们要使用sudo so-allow 来启动web界面

这里IP直接为空、选择OK

点击yes 开始安装

开始安装进度

使用onion/admin123 登录到系统中、之后使用sudo so-allow 启动服务、密码为admin123，之后选择a回车后输入允许登录安全洋葱的主机地址

到此安全洋葱才算真正安装完成。

我们修改下root密码

运行sudo passwd，首次运行需要输入onion密码、输入成功后直接可以设置root密码

设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像

我们打开浏览器输入https://192.168.0.10,输入我们安装时候创建的web登录账号密码

admin@qq.com/admin123

Kibana 数据展示界面

Grafana 监控服务器应用运行状态

Cyberchef 界面、可以加密解密数据

Fleet 登录账号密码同安全洋葱账号一样 admin@qq.com/admin123

Thehive 登录账号密码同安全洋葱账号一样admin@qq.com/admin123

至此安全洋葱基本已经安装介绍完成、功能也基本完善，要抓取所有流量数据必须做端口镜像、否则抓不到攻击告警的数据流。下篇文章我将介绍如何在不同的设备上做端口镜像、以及Kibana、Fleet 、Thehive的使用方法及流量分析。

温馨提示：在虚拟机中安装完成一定要打快照哦.....

安全运维企业安全运维重点是什么？如何做？

企业安全运维重点是什么？如何做？相信很多企业管理者都有这样的困惑，不知如何解决。个人觉得企业安全运维的重点，其实就是建立一套标准化的运维管理体系，让运维的每件事情都有章可循，发现问题，快速解决问题。以下是个人总结的4点企业安全运维重点方向，希望对大家有用。

一、一站式混合运维管理

一个平台管所有。只需要一个平台就可以提供日常管理所需的所有功能，包括：混合式资源（主机/数据库等）的统一管理、主机监控、数据备份、文件传输、合规运维与审计、安全体检、自动化运维等一站式、全方位的功能特性。所以，最好只需一套系统就可以不再购买主机监控、合规运维与审计、自动化运维等其它管理软件。

二、数据资产安全运维

可以集中管理资产权限，全程记录操作数据，实时还原运维场景，帮助企业用户构建统一、安全、高效运维通道；保障运维工作权限可管控、操作可审计、合规可遵从。平台集中了运维身份鉴别、账号管控、操作审计等多种功能。基于协议和应用发布可实现对RDP、SSH、VNC、Telnet、FTP、SFTP等常见运维协议和应用的数据流进行全程记录，再通过协议数据流重组的方式进行录像回放，达到运维审计的目的。同时针对不同的运维场景提供不同的运维策略等。

1）主机运维审计

可访问 Linux 等主机，支持Web方式访问、本地工具访问和跳板机访问等，支持RDP、SSH、VNC、Telnet、FTP/SFTP 等多种主要的服务器管理协议。操作过程中所有命令支持准确关联到用户，并将用户账号、主机账号、操作时间、执行命令等信息完整记录，支持全方检索等方式检索操作记录。

2）数据库运维审计

可以基于数据库协议代理等方式访问 Hive、Vertical、Oracle、 Postgrsql、Mysql、SQL Server、Redis、RedShift等主流数据库等数据库。支持各数据库的用户名密码等用户验证方式。数据操作过程中所有 sql 可以准确关联到用户，并将用户账号、数据库账号、操作时间、执行 sql 等信息完整记录。

三、运维自动化与智能化

企业IT的管理需要面对各种日常重复性，批量性工作：如补丁分发，巡检，应用部署，系统配置管理等，需要耗费运维管理人员大量的精力，而且还要面对人工操作失误的风险。因此需要这样的自动化功能：

（1）可以实现批量化操作，如批量执行命令、脚本、收集和分发文件等；

（2）任务编排自动化部署，让部署工作具有可植性，支持在任何云上快速自动化部署相同应用环境，让开发、质量保证和生产阶段之间保持环境一致性；

（3）自动化：配置检查、巡检、应用部署等重复性工作；

（4）对云环境下云服务、虚拟机、以及物理机的统一监控接入与智能告警。

四、日常运维CMDB管理

统一运维平台，不需要再用excel记录主机和数据库信息，可以把所有主机和数据库信息全部导入到一个平台上，并且对他们进行打标签、分组管理。

可以一对多、多对一进行远程协同操作，既节约成本又提高了运维效率，而且所有的操作过程可以全程录像。

自动巡检、自动生成图表，并结合可视化巡检报告，自动定时推送至微信、邮箱，及时掌握运维动态。

作为技术独立的第三方云管平台，行云管家云管平台完美支持上述所有功能，目前已成功服务十万家企业级用户，登录官网<行云管家>注册即可体验。