安全洋葱
概述
Security Onion是一款入侵检测和网络监控工具。
在你开始之前
Security Onion内置了Snort,因此可以在相同的实例中运行。
该工具的Syslog配置可以在Syslog -ng conf文件中找到。修改配置文件中的"destination d_net"和日志行,并确保配置如下所示:
文本
1#发送消息到另一个主机2#3.destination d_net {udp("_collector_ip_address_" port(_listening_port_defined_in_InsightPlatform));};45....67#发送到远程站点的所有消息8#9日志{来源(s_syslog);目的地(d_net);};
在哪里_listening_port_defined_in_InsightPlatform
是在insights中定义为事件源的一部分的端口。
有关Security Onion的额外文档,请访问这个网站.
如何配置事件源
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从安全数据部分选择IDS图标
- 选择收集器,并可选地命名事件源
- 从事件源选项列表中,选择Security Onion
- 选择一个时区,或者选择一个美国时区
- 可以选择发送未过滤的日志
- 配置不活动超时阈值(分钟)。
- 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
- 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用
Rapid7CA.pem
并允许insights和Security Onion在日志转发过程中“信任”对方。
这个页面对你有帮助吗?