Security Onion
Что такое Security Onion?
Security OnionБесплатный открытый дистрибутив Linux для threat hunting, мониторинга сетевой безопасности и управления журналами, созданный Дугом Бёрксом и сопровождаемый Security Onion Solutions.
Security Onion — это бесплатная платформа SOC на базе Ubuntu и Elastic (с возможностью OpenSearch), объединяющая ключевые открытые инструменты: Suricata или Zeek в роли сетевой IDS, Wazuh как HIDS, Stenographer для полной записи пакетов, Strelka и CyberChef для разбора файлов, Elastic Stack для хранения и поиска и собственный SOC-веб-интерфейс для управления делами и пивотинга. Дистрибутив выпустил Дуг Бёркс в 2008 году, сейчас его развивает Security Onion Solutions LLC. Он широко используется в обучении (SANS SEC503), в малых и средних SOC и в лабораториях реагирования. Security Onion 2.x поддерживает распределённые развёртывания с узлами manager, search, sensor и storage и поставляется с тысячами готовых правил обнаружения.
● Примеры
- 01
Расследование оповещения Suricata в Security Onion с переходом к журналу соединений Zeek и PCAP того же потока.
- 02
Использование встроенного модуля Wazuh для обнаружения изменений целостности файлов на Linux-веб-сервере.
● Частые вопросы
Что такое Security Onion?
Бесплатный открытый дистрибутив Linux для threat hunting, мониторинга сетевой безопасности и управления журналами, созданный Дугом Бёрксом и сопровождаемый Security Onion Solutions. Относится к категории Защита и операции в кибербезопасности.
Что означает Security Onion?
Бесплатный открытый дистрибутив Linux для threat hunting, мониторинга сетевой безопасности и управления журналами, созданный Дугом Бёрксом и сопровождаемый Security Onion Solutions.
Как работает Security Onion?
Security Onion — это бесплатная платформа SOC на базе Ubuntu и Elastic (с возможностью OpenSearch), объединяющая ключевые открытые инструменты: Suricata или Zeek в роли сетевой IDS, Wazuh как HIDS, Stenographer для полной записи пакетов, Strelka и CyberChef для разбора файлов, Elastic Stack для хранения и поиска и собственный SOC-веб-интерфейс для управления делами и пивотинга. Дистрибутив выпустил Дуг Бёркс в 2008 году, сейчас его развивает Security Onion Solutions LLC. Он широко используется в обучении (SANS SEC503), в малых и средних SOC и в лабораториях реагирования. Security Onion 2.x поддерживает распределённые развёртывания с узлами manager, search, sensor и storage и поставляется с тысячами готовых правил обнаружения.
Как защититься от Security Onion?
Защита от Security Onion обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Security Onion?
Распространённые альтернативные названия: SO, Security Onion 2.
● Связанные термины
- defense-ops№ 372
Elastic Stack (ELK)
Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе.
- defense-ops№ 1225
Wazuh
Открытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
- defense-ops№ 1117
Suricata
Высокопроизводительный открытый движок сетевого IDS, IPS и мониторинга безопасности, сопровождаемый Open Information Security Foundation (OISF).
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.