SecurityOnion (IDS設定) 1 NIC 版

セットアップ https://securityonion.readthedocs.io/en/latest/production-deployment.html#setup

f:id:hirose-test:20200508000623j:plain

f:id:hirose-test:20200507234952j:plain

f:id:hirose-test:20200507235155j:plain

SecurityOnion には次のような多数のオープンソースツールが含まれている。

Elasticsearch : 全文検索に特化した検索・分析エンジン。
Logstash :サーバーサイドのデータ処理パイプライン。複数のソースから同時にデータを取り込み、変換してElasticsearchなどの格納庫(スタッシュ)に送信する。
Kibana : Elasticsearchのデータをチャートやグラフで可視化する。
ELK Stack: Elasticsearch、Logstash、Kibana | Elastic
Squert : Sguilデータベースに保存されているイベントデータ(一般的にはIDSアラートデータ)を表示する。
Sguil : ネットワークセキュリティ監視(NSM)とIDSアラートの分析のためのフリーソフトウェアコンポーネントのコレクション。Snortからのアラートデータ、SANCPからのセッションデータを統合する。
Zeek : ネットワークトラフィックアナライザー。
Snort/Suricata : リアルタイムパケット解析&パケットログの機能を持つ侵入検知システム / 同じく侵入検知・防御システム。
netsniff-ng : Linuxネットワークアナライザーおよびネットワーキングツールキット。

f:id:hirose-test:20200507235205j:plain

f:id:hirose-test:20200510063058j:plain

Staticで「OK」(DHCPでもいいけど「Staticを強く勧める」とのこと)

f:id:hirose-test:20200508000438j:plain

VirtualBox の初期設定だとDHCPで192.168.56.100番台のIPが振られるのでそれに合わせて他のサーバーと被らないように決める。

f:id:hirose-test:20200510044648j:plain

f:id:hirose-test:20200508001246j:plain

f:id:hirose-test:20200508001255j:plain

Gateway アドレス。今回は自分自身とする。
f:id:hirose-test:20200508001504j:plain

DNSサーバーも今回は自分自身。
f:id:hirose-test:20200508001625j:plain

ドメイン名。テストなのでなんでもいい。
f:id:hirose-test:20200508001853j:plain

設定を確認して Yes。
f:id:hirose-test:20200510063426j:plain

再起動
f:id:hirose-test:20200510063633j:plain

再度「Setup」をクリックして SecondPhaseSetup 開始。
f:id:hirose-test:20200510063749j:plain

f:id:hirose-test:20200510063852j:plain

f:id:hirose-test:20200510075603j:plain

ネットワーク設定はさっき行ったのでスキップ。
f:id:hirose-test:20200510075622j:plain

Evaluationモード:一時的な評価用
Productionモード:本番用
https://docs.securityonion.net/en/latest/architecture.html#evaluation
https://docs.securityonion.net/en/latest/configuration.html#evaluation
f:id:hirose-test:20200510075636j:plain

f:id:hirose-test:20200510075652j:plain

f:id:hirose-test:20200510075811j:plain

f:id:hirose-test:20200510075835j:plain

f:id:hirose-test:20200510075910j:plain

f:id:hirose-test:20200510080454j:plain

f:id:hirose-test:20200510080540j:plain

f:id:hirose-test:20200510080611j:plain

IDSルールセット。デフォルトで良い。
f:id:hirose-test:20200510080656j:plain

IDSエンジン。Snortで。
f:id:hirose-test:20200510080734j:plain

f:id:hirose-test:20200510080743j:plain

パケットの取りこぼしを少なくする、リングバッファ方式のスロットル数。デフォルトで。 f:id:hirose-test:20200510080827j:plain

f:id:hirose-test:20200510080842j:plain

f:id:hirose-test:20200510080851j:plain

f:id:hirose-test:20200510080950j:plain

f:id:hirose-test:20200510081011j:plain

f:id:hirose-test:20200510081109j:plain

f:id:hirose-test:20200510081121j:plain

f:id:hirose-test:20210206004702j:plain

f:id:hirose-test:20210206004715j:plain

f:id:hirose-test:20210206004727j:plain

センサーは一台だけなので No で。
f:id:hirose-test:20210206004931j:plain

f:id:hirose-test:20210206005139j:plain

f:id:hirose-test:20210206005529j:plain

f:id:hirose-test:20210206005927j:plain

設定を再確認して、OK。 f:id:hirose-test:20210206005941j:plain

f:id:hirose-test:20210206010704j:plain

f:id:hirose-test:20210206010716j:plain

SecurityOnionで動作しているサービスの状態をチェックするコマンド。

$ sudo sostat
$ sudo sostat-quick
$ sudo sostat-redacted

f:id:hirose-test:20210206010933j:plain

f:id:hirose-test:20210206011624j:plain

SecurityOnion のファイヤーウォールで許可されているポートが22である。 f:id:hirose-test:20210206011843j:plain

f:id:hirose-test:20210206012140j:plain

f:id:hirose-test:20210206012146j:plain

/* -----codeの行番号----- */