安全洋葱

概述

Security Onion是一款入侵检测和网络监控工具。

在你开始之前

Security Onion内置了Snort,因此可以在相同的实例中运行。

该工具的Syslog配置可以在Syslog -ng conf文件中找到。修改配置文件中的"destination d_net"和日志行,并确保配置如下所示:

          

           文本

            
           

          

           

            

             1

            #发送消息到另一个主机
           

           

            

             2

            
           

           

            

             3.

            destination d_net {udp("_collector_ip_address_" port(_listening_port_defined_in_InsightPlatform));};
           

           

            

             4

            
           

           

            

             5

            ....
           

           

            

             6

            
           

           

            

             7

            #发送到远程站点的所有消息
           

           

            

             8

            
           

           

            

             9

            日志{来源(s_syslog);目的地(d_net);};

在哪里_listening_port_defined_in_InsightPlatform是在insights中定义为事件源的一部分的端口。

有关Security Onion的额外文档,请访问这个网站

如何配置事件源

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分选择IDS图标
  4. 选择收集器,并可选地命名事件源
  5. 从事件源选项列表中,选择Security Onion
  6. 选择一个时区,或者选择一个美国时区
  7. 可以选择发送未过滤的日志
  8. 配置不活动超时阈值(分钟)。
  9. 选择监听Syslog或日志聚合器;两者都需要指定端口和协议。如果选择TCP,也可以选择加密事件源
  10. 如果您选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。这个文件将被调用Rapid7CA.pem并允许insights和Security Onion在日志转发过程中“信任”对方。