来源:https://docs.securityonion.net/en/2.3/introduction.html
一、介绍
简单地说,网络安全监视(NSM)就是监视您的网络以获取与安全相关的事件。当用于识别漏洞或过期的SSL证书时,它可能是主动的,也可能是被动的,例如在事件响应和网络取证中。无论您是在跟踪对手还是试图防范恶意软件,NSM都为您的网络提供了上下文、情报和态势感知。企业安全监视(ESM)将NSM提升到下一个级别,并包括来自企业的端点可见性和其他遥测。有一些商业解决方案接近于Security Onion提供的功能,但很少有一个包包含Security Onion的巨大功能。
在下面的图中,我们可以看到带有防火墙、工作站和服务器的传统企业网络中的安全洋葱。您可以使用安全洋葱来监视向北/向南的流量,以检测对手进入环境、建立命令和控制(C2),或者可能是数据泄露。您可能还需要监视东/西的流量以检测横向移动。随着越来越多的网络流量被加密,以端点遥测的形式提供额外的可见性来填补这些盲点是很重要的。安全洋葱可以消耗来自服务器和工作站的日志,这样您就可以同时搜索所有网络和主机日志。
许多人认为,NSM是一种可以通过购买来填补空白的解决方案;购买和部署解决方案XYZ并解决问题。认为你可以买到NSM的想法否定了一个事实,即NSM首字母缩写中最重要的单词是“M”,代表监视。数据可以收集和分析,但不是所有的恶意活动第一眼看上去都是恶意的。虽然自动化和相关性可以增强智能,并有助于通过假阳性和恶意指标进行排序,但人类的智能和意识是无可替代的。我不想让你失望。安全洋葱不是一个银弹,你可以设置,离开,并感到安全。如果这就是你想要的,你永远也找不到。安全洋葱将提供能见度到您的网络流量和上下文警报和异常事件,但它需要您的承诺,从防御审查警报,监控网络活动,最重要的是,有意愿,热情和渴望学习。
二、概述
安全洋葱无缝编织在一起的三个核心功能:
完整的数据包捕获
网络和端点检测
强大的分析工具
全包捕获通过Stenographer完成。Stenographer会捕获你的安全洋葱传感器看到的所有网络流量,并存储你的存储解决方案所能容纳的所有流量(它有一个内置机制,可以在磁盘满容量之前清除旧数据)。全包捕获就像网络上的摄像机,但更好的是,它不仅能告诉我们谁来了谁去了,还能准确地告诉我们他们去了哪里,带了什么(利用有效负载、钓鱼邮件、文件泄露)。这是一个犯罪现场记录器,它可以告诉我们很多关于受害者的信息,以及地面上被入侵的主人的白色粉笔轮廓。在受害人的尸体上当然可以找到有价值的证据,但在寄主处的证据可以被销毁或利用;照相机不会说谎,很难被欺骗,而且可以捕捉到行进中的子弹。
网络和端点检测分别分析网络流量或主机系统,并为检测到的事件和活动提供日志和警报数据。安全洋葱提供多种选择:
规则驱动的NIDS。对于规则驱动的网络入侵检测,安全洋葱2使用了Suricata。基于规则的系统会查看网络流量,以查找与已知的恶意、异常或可疑流量匹配的指纹和标识符。您可能会说,它们类似于网络的防病毒签名,但它们比这些更深入、更灵活。
协议的元数据。对于分析驱动的网络入侵检测,Security Onion提供Zeek。与基于规则的系统在数据的大海捞针不同,Zeek说,“这是你所有的数据,这是我看到的。你想怎么做就怎么做,这里有一个框架。Zeek监视网络活动并记录任何连接、DNS请求、检测到的网络服务和软件、SSL证书以及它看到的HTTP、FTP、IRC、SMTP、SSH、SSL和Syslog活动,为网络上的数据和事件提供真实的深度和可见性。从理论上讲,Zeek包含了许多通用协议的分析程序,默认情况下,它可以根据Team Cymru的恶意散列注册表项目检查HTTP文件下载的MD5和。除了记录活动和流量分析器之外,Zeek框架还提供了一种非常可扩展的实时分析网络数据的方法。输入框架允许您向Zeek提供数据,Zeek可以编写脚本,例如,读取c级员工用户名的逗号分隔的文件,并将其与其他活动(例如从Internet下载可执行文件时)相关联。文件分析框架提供独立于协议的文件分析,允许您捕获通过您的网络的文件,并自动将它们传递到沙箱或文件共享用于防病毒扫描。Zeek的灵活性使它在你的防御中成为一个不可思议的强大盟友。
对于端点检测,安全洋葱提供了Wazuh,一个免费的,开源的HIDS为Windows, Linux和Mac OS x。当你添加Wazuh代理到你的网络上的端点,你获得无价的可见性从端点到你的网络的出口点。Wazuh执行日志分析、文件完整性检查、策略监控、rootkit检测、实时警报和主动响应。作为一名分析人员,能够将基于主机的事件与基于网络的事件关联起来是识别成功攻击的区别。安全洋葱2的新成员是osquery,它是另一个免费和开源的端点代理。此外,Security Onion还可以通过Syslog或Beats等代理传输方式收集数据。
三、分析工具
有了全包捕获、IDS警报、Zeek数据和端点遥测技术,您的指尖就可以获得数量惊人的数据。幸运的是,Security Onion紧密集成了以下工具来帮助理解这些数据。
安全洋葱控制台(SOC)
安全洋葱控制台(SOC)是您登录到安全洋葱时看到的第一个东西。它包括一个新的警报界面,允许你看到你所有的NIDS和HIDS警报。
安全洋葱控制台(SOC)也包括一个新的狩猎界面的威胁狩猎,它允许你不仅查询你的NIDS/HIDS警报,而且还Zeek日志和系统日志。
安全洋葱控制台(SOC)也包括一个接口为全包捕获(PCAP)检索。
TheHive
Thive是案例管理界面。当您在工作警报、狩猎或Kibana时,您可能会发现警报或日志足够有趣,可以发送到蜂巢并创建一个案例。其他分析师可以与你合作,帮助你结束这个案子。
Kibana
由Elastic团队创建的Kibana允许我们通过“一层玻璃”快速分析并在Security Onion生成的所有不同数据类型之间切换。这不仅包括NIDS/HIDS警报,还包括通过syslog或其他代理传输收集的Zeek日志和系统日志。Kibana可以通过安全洋葱控制台(SOC)转向全包捕获。
CyberChef
CyberChef允许您解码、解压和分析工件。
剧本
Playbook是一个web应用程序,它允许您创建一个检测剧本,它本身由各个剧本组成。这些剧本是完全独立的,描述了特定检测策略的不同方面。
结论
因此,我们有全包捕获、Suricata规则驱动的入侵检测、Zeek事件驱动的入侵检测和Wazuh基于主机的入侵检测,一旦你运行安全洋葱设置,所有这些都可以用完。这些具有各种依赖关系和复杂性的完全不同的系统都可以无缝地运行在一起,否则需要花费数小时、数天或数周的时间来组装和集成它们自己。曾经看似不可能完成的任务,现在只需要回答几个问题就可以了。
网友评论