Security Onion
Qu'est-ce que Security Onion ?
Security OnionDistribution Linux gratuite et open source pour le threat hunting, la supervision reseau et la gestion de logs, creee par Doug Burks et maintenue par Security Onion Solutions.
Security Onion est une plateforme SOC gratuite basee sur Ubuntu et Elastic (avec options OpenSearch) qui integre les principaux outils open source : Suricata ou Zeek pour l'IDS reseau, Wazuh pour le HIDS, Stenographer pour la capture complete de paquets, Strelka et CyberChef pour l'inspection de fichiers, Elastic Stack pour le stockage et la recherche, et une interface SOC dediee pour la gestion de cas et le pivoting. Initialement publiee par Doug Burks en 2008 et developpee aujourd'hui par Security Onion Solutions LLC, la distribution est largement utilisee en formation (SANS SEC503), dans les SOC de taille moyenne et dans les labs de reponse a incident. Security Onion 2.x supporte des deploiements distribues avec des noeuds manager, search, sensor et storage, et embarque des milliers de regles de detection.
● Exemples
- 01
Investiguer une alerte Suricata dans Security Onion en pivotant vers le log de connexion Zeek et le PCAP du meme flux.
- 02
Utiliser le module Wazuh integre pour detecter des changements d'integrite de fichiers sur un serveur web Linux.
● Questions fréquentes
Qu'est-ce que Security Onion ?
Distribution Linux gratuite et open source pour le threat hunting, la supervision reseau et la gestion de logs, creee par Doug Burks et maintenue par Security Onion Solutions. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Security Onion ?
Distribution Linux gratuite et open source pour le threat hunting, la supervision reseau et la gestion de logs, creee par Doug Burks et maintenue par Security Onion Solutions.
Comment fonctionne Security Onion ?
Security Onion est une plateforme SOC gratuite basee sur Ubuntu et Elastic (avec options OpenSearch) qui integre les principaux outils open source : Suricata ou Zeek pour l'IDS reseau, Wazuh pour le HIDS, Stenographer pour la capture complete de paquets, Strelka et CyberChef pour l'inspection de fichiers, Elastic Stack pour le stockage et la recherche, et une interface SOC dediee pour la gestion de cas et le pivoting. Initialement publiee par Doug Burks en 2008 et developpee aujourd'hui par Security Onion Solutions LLC, la distribution est largement utilisee en formation (SANS SEC503), dans les SOC de taille moyenne et dans les labs de reponse a incident. Security Onion 2.x supporte des deploiements distribues avec des noeuds manager, search, sensor et storage, et embarque des milliers de regles de detection.
Comment se défendre contre Security Onion ?
Les défenses contre Security Onion combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Security Onion ?
Noms alternatifs courants : SO, Security Onion 2.
● Termes liés
- defense-ops№ 372
Elastic Stack (ELK)
Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle.
- defense-ops№ 1225
Wazuh
Plateforme XDR et SIEM open source — fork d'OSSEC depuis 2015 — qui unifie la telemetrie endpoint, cloud et conteneurs avec des tableaux de bord integres sur Wazuh Indexer et Dashboard.
- defense-ops№ 1117
Suricata
Moteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF).
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.