最近听到不少小伙伴吐槽,说网络安全市场现在是真不好混了,甲方爸爸们一个个精得跟猴似的,光靠卖盒子忽悠人那套已经不好使了。遥想当年,只要政策一响,盒子随便卖,现在呢?用户机房里各种安全设备堆成山,防火墙、终端安全管理,啥也不缺,简直就是安全盒子的“坟墓”。
而且,更扎心的是,很多甲方爸爸也开始自我觉醒,安全意识蹭蹭往上涨,想忽悠他们,门都没有!之前的那些安全集成项目,效果嘛,呵呵,说多了都是泪,设备买回去就吃灰,运营效果基本为零。
所以,我跟朋友说,咱们得换个思路,别老想着卖盒子,转型做服务才是王道! 之前的那些坑,那些浪费,咱们得想办法弥补。站在专业的角度,帮甲方爸爸把现有的设备、资源整合起来,打造一个真正能打的网络安全防御体系,这才是正经事。深入了解甲方的痛点,以需求为导向,以结果为目标,这才是我们应该努力的方向。
今天,就给大家分享一个开源的入侵检测系统,这个方案我也给不少用户推荐过。咱们先简单粗暴地把甲方的信息化环境分为四种模式:
1、私有云+公有云
2、本地机房组网
3、公有云
4、私有云
这四种模式都能完美支持咱们今天的主角——开源入侵检测系统。 核心要点就是:引流和入侵检测的主机网卡必须设置成镜像模式!
当然,提到开源,肯定有小伙伴会问:这玩意儿能过等保吗?
别慌,我已经替你们查过了!
等保2.0:开源也能Hold住!
简单来说,信息安全等级保护是国家为了规范企业信息安全而制定的标准,它更关注你的技术能力和管理能力是否达标,而不是你买了什么产品。换句话说,只要你的开源安全产品能满足等保测评的要求,就能顺利通过!
当然,为了避免网络安全事故,响应国家号召,还是建议大家尽快开展等保工作,拿到认证,心里才踏实。
打消了顾虑,咱们就来好好认识一下这个开源入侵检测系统——Security Onion。
Security Onion:安全界的瑞士军刀
Security Onion 是一个免费、开源的 Linux 发行版,专门用于威胁搜索、企业安全监控和日志管理。你可以把它想象成一个安全界的瑞士军刀,啥都能干!
它自带一个超好用的网络界面,内置各种工具,可以帮助安全分析师快速响应警报、威胁狩猎、整理证据、监控网络性能等等。
更厉害的是,它还集成了各种第三方神器,比如 Elasticsearch、Logstash、Kibana、Suricata、Zeek(以前叫 Bro)、Wazuh、NetworkMiner、CyberChef 等等,简直就是安全工具界的豪华套餐!
Security Onion能干啥?
- NIDS(网络入侵检测系统): 实时监控网络流量,发现恶意行为。
- HIDS(主机入侵检测系统): 监控系统内部,揪出潜伏的威胁。
- 静态分析: 支持导入 PCAP、EVTX 文件,进行离线分析。
- SOC(安全运营平台): 集中管理安全事件,提升安全运营效率。
Security Onion界面一览
告警信息一目了然:
威胁狩猎,主动出击:
告警详情,抽丝剥茧:
PCAP分析,还原真相:
威胁事件,一网打尽:
控制面板,全局掌控:
安装过程也超级简单,官方提供了脚本一键安装,图形化界面,有手就行。
Security Onion安装教程
CentOS环境
安装git:
sudo yum -y install git
下载仓库,运行一键安装脚本:
git clone https://github.com/Security-Onion-Solutions/securityonion
Ubuntu环境
安装git:
sudo apt -y install git curl
下载仓库,运行一键安装脚本:
git clone https://github.com/Security-Onion-Solutions/securityonion
Security Onion配置
运行完脚本会弹出古老的图形化界面,在<Yes>上回车:
然后继续回车:
然后输入AGREE:
输入自定义的hostname:
继续回车:
然后按空格选择网卡,前面会出现*号:
选择Direct直连,我们不需要代理,按回车:
预装检测完成后,会让我们选择监控流量的网卡,我们依旧是按空格选择网卡:
根据个人情况选择更新计划,我们这里默认是Automatic,每8个小时一更,继续回车:
基础设置完成:
防火墙开放端口
so-allow
温馨提示:
1、 确定访问的管理地址段,是安装完成后访问的管理地址。
2、 双网卡,一块用于管理,另外一块用于接收流量镜像。
本地机房: 在核心交换机上联接口镜像到另外一个接口。服务器的第二块网卡接到这个镜像口上。
#1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
#2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
#3. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
云端: 可以直接设置把流量镜像打到服务器网卡上。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
