Security Onion Solutions 2.3.10部署指南

（完成本文实验，需要读者具备日志采集分析、ELK和Docker环境的操作经验）

1.部署准备

1.1 什么是Security Onion Solution

Security Onion是免费的开源Linux发行版，它主要用于威胁搜寻，企业安全监视和日志管理。它包括TheHive，Playbook和Sigma，Fleet和osquery，CyberChef，Elasticsearch，Logstash，Kibana，Suricata，Zeek(以前的bro-ids)，Wazuh等安全工具。

Security Onion始于2008年（和OSSIM的起源几乎相同），最初基于Ubuntu Linux发行版，直到Security Onion的最后一个主要版本基于Ubuntu 16.04，因此它被称为Security Onion 16.04。

目前讲述的SOS 2.3.1安全洋葱解决方案是在CentOS Linux下基于容器开发的，这一新平台命名为Security Onion 2，截至目前的最新发行版是v 2.3.10。

以下是Security Onion 2与旧版系统（v 16.04）的差异：

从Ubuntu软件包移至Docker容器；
支持CentOS Linux 7；
将pcap收集工具从netsniff-ng更改为Google Stenographer(一种新型抓包方案，可快速将网络包保存到硬盘)
升级到Elastic Stack 7.x并支持Elastic Common Schema（ECS）；
将内核模块PF_RING替换为AF_PACKET；
Suricata完全取代了Snort。
删除了Sguil，Squit和capME（这几款软件还是相当实用的，取消有些可惜）
增加了存储节点现在称为搜索节点；
整合了新技术：TheHive，Strelka，支持Sigma规则，Grafana （主机的健康监控和报警），Fleet（用于osquery管理），Playbook（检测Playbook的工具），Onion Hunt，Security Onion Console 。

1.2 如何下载：

SOS 是一个值得尝试的系统，大家可以一边下载这个大型ISO文件，一边阅读下列相关知识点。

下载2.3.10 ISO image（约6.84GB）的网址

https://download.securityonion.net/file/securityonion/securityonion-2.3.10.iso

MD5: 55E10BAE3D90DF47CA4D5DCCDCB67A96

SHA1: 01361123F35CEACE077803BC8074594D57EE653A

SHA256: 772EA4EFFFF12F026593F5D1CC93DB538CC17B9BA5F60308F1976B6ED7032A8D

1.3 Security Onion的核心功能

Security Onion的最大特点就是虽然集成度很高、但用户安装界面却非常简单，另一个特点就是新，我相信很多开源软件大家都并不熟悉，由于它是基于Centos Linux开发所有安全组件都经过特殊设置，而且跟操作系统完美结合，所以即使是“门外汉”部署这套系统照样能够上手。

Security Onion提供的3个大核心功能：

1）全包捕获：全包捕获通过Stenographer来实现，它会捕获Security Onion传感器的所有网络流量。就像一部网络摄像机一样，捕获网络数据包。

2）网络和端点检测：分析网络流量或主机系统，并为检测到的事件和活动提供日志和警报数据。

3）强大的分析工具：SOS紧密集成了下列工具：

安全洋葱控制台（SOC）可以查看所有的NIDS和HIDS警报，从功能上看这和安全运营中心SOC差的还很远，不过很吸引眼球不是嘛。
The Hive，可以发现很多事件报警和日志。
Kibana:使我们能够通过“单一窗格”快速分析和分析由Security Onion生成的所有不同数据类型。
CyberChef:允许您解码，解压缩和分析数据包。
Playbook：用来创建检测剧本，这些剧本是完全独立的，描述了特定检测策略的不同方面。

1.4 开源版SOS的架构

SOS不但包含了Elastic Stack（一套完整的大数据处理系统，从日志输入、转换到存储分析、可视化），而且还添加了下列内容（这四个组件在Security Onion中作为Docker容器运行）：

Curator：主要用来帮助管理Elasticsearch索引和快照。
Domaintats：用途不详
ElastAlert：用于查询ElasticSearch，并提供具有多种输出类型的警报机制，例如Slack，Email，JIRA，OpsGenie等。
FreqServer ：用于分析哪些被频繁访问的字段，并给出访问次数排名。

图中EVAL表示测试评估版

下面的实验中采用独立安装方式，此方式由运行服务器和传感器组件以及相关进程的单个虚拟机组成，最适合初学者入门。

1.5 关于Docker

由于 SO 2.3.1 采用的是 Docker CE v19.0.3容器，Docker CE (Docker Community Edition 社区版，与之对应的是EE，企业版)是免费的Docker产品的新名称，Docker CE包含了完整的Docker平台，非常适合开发人员和运维团队构建容器APP。大家在使用SO 2.3.1时会涉及到很多ELK和Docker的知识点。

2、系统安装

SOS适合VirtualBOX、和Vmware workstation下安装。

2.1 安装必要条件：

CPU： 4 +Core
Disk：100+GB (由于系统中多个Docker应用的瓶颈会暴露在I/O上，强烈推荐使用SSD）
RAM：12+GB （12G是满足安装的最基本条件，要运行顺畅至少16GB内存，推荐32GB）
网络适配器：2 NIC

2.2 通过ISO在虚拟机中安装

下面虚拟机草原最新版VirtualBOX，新建虚拟机的参数配置满足上面的必要条件，下面开始正式安装，首先选择基于图形模式安装系统。

安装警告：这里输入管理员名称admin（有别于root用户），并输入密码。回车后开始安装基本系统，十分钟后，一个基本系统安装完成。漫长的过程还在后面。

通过输入“Alt+Tab”组合键，可以在4种模式下转换：

主安装界面
Shell
LOG
Storage-lo

系统安装完成后，自动重启。

登录系统，登录用户输入刚才输入的名称，admin,以及密码。

点击Yes

选择"EVAL" (测试评估版)。

选择standard,标准安装。

选择自动更新

输入主机名称

在Updating packages环节，并不是从网络安装系统（网络收、发包几乎为0）。

配置静态IP地址

输入IP、子网掩码、网关、DNS等配置参数。

设置嗅探接口，以及嗅探的网段CIDR号

选择安装组件

该步安装配置时间大约1小时。

输入电子邮箱地址作为登录用户名。

设置IP地址来访问SO的WebUI接口

下面的过程会继续安装组件：

生成CA中心
从iso中拷贝 containers
应用idstools salt state
应用elasticsearch salt stae
应用pcap salt state
应用zeek Salt state
应用curator salt state
应用soc salt state
应用kibana salt state
应用 utility salt state
验证安装

安装完成之后可以登录系统啦

在浏览器地址栏输入IP，接着显示登录界面，输入刚才输入的电子邮件地址和口令来登录系统。

注：系统安装配置完成后，虚拟机文件夹容量约为22GB。如果你的磁盘空间小于30GB，会导致配置过程意外终止，整个安装前功尽弃！

关键元素 SOC 报警控制台

安全洋葱控制台（SOC）使您可以访问我们的新警报界面。该界面为您概述了Security Onion生成的警报。图中，启用Acknowledged切换功能仅会显示先前已被分析师确认的警报。

启用该Escalated切换将仅显示以前由分析人员升级为TheHive的警报状态栏

看到下面界面，是不是感觉似曾相识?怎么应用？我们下回分解。

在命令行下，我们通过输入下面的命令来了解容器和镜像的情况

$sudo docker ps

$sudo docker images

下文将会为大家分析SOS中的Docker容器有何用途，尽情期待！https://zhuanlan.zhihu.com/p/302350720