在Day 19 指揮挺!組合!打造資安艦隊 (2) 這篇文章中,我提到網路監控也是資訊安全重要的一環,藉由監控流量和分析封包,透過SIEM的整合,達到偵測、調查、防範等目的;同時我也提到,部分資訊可能有所重覆,例如Network Intrusion Detection System (NIDS) 也同樣檢視網路封包,所以和NetFlow等 Flow Data或路由器Syslog 有些重覆。熟知實際環境中各項設備能力,藉由SIEM安全資訊事件管理系統整合,同時考驗著資安人員的專業,所以投資商務授權的SIEM,讓有經驗的工程師幫你整合設備、調整各種日誌資訊,不失為一個好辦法。對於決心自己投入時間鑽研,卻受限於經費預算,缺乏工具可用的資安人員,想當《百戰天龍》的馬蓋先,有沒有一把資安瑞士刀Swiss Army Knife呢?
一套網路安全監控 Network Security Monitoring方案,大致上包括封包解析、IDS、分析工具三個核心套件,從封包獲取資訊、判別是否惡意、進行分析。這樣三合一的開源方案,叫做Security Onion (我都暱稱為安全洋蔥)。Security Onion是一套特別的Linux發行版,在開源和資安社群享有盛名,可惜我直到去年(2017)才聽到,能達到網路監控、入侵偵測和日誌管理三個目的,包括許多套件:
1.封包截取 Packet Capture
Security Onion 使用netsniff-ng,截取網路封包成為PCAP檔案,可以直接看PCAP檔案獲得資訊,或者藉由其他工具來分析。
- 入侵偵測IDS
Security Onion 包括幾種入侵偵測工具,有主機入侵偵測系統Host-based Intrusion Detection System (HIDS)和網路入侵偵測系統Network Intrusion Detection System (NIDS),關於什麼是HIDS和NIDS,邦友Fu-sheng於本次鐵人賽已有介紹,可參閱文末連結。Security Onion 包括的HIDS是有名的開源主機入侵偵測系統 OSSEC,可支援Linux、Windows和Mac系統,若熟悉Systemintel的工具sysmon和autorun,想在Windows系統上更進一步監測,Security Onion也支援sysmon和aurorun的整合。
NIDS方面,Security Onion有Snort 和Suricata供我們選擇,邦友Joejo在上次鐵人賽已有關於Snort的介紹,可參閱文末連結。Snort和Suricata可以和資料庫的規則Rule 和特徵Singature比對,偵測異常行為,除了Snort和Suricata,還有同樣大名鼎鼎的BroIDS,有著非常豐富的特徵資料庫供我們判斷攻擊來源,同時Security Onion 整合**REN-ISAC Collective Intelligence Framework (CIF)**資安威脅情資,讓這個來自社群的資安威脅情資送到Bro協助分析,將已知的惡意IP、網域、 URL和偵測到的網路流量交叉比對,提高偵測準確率。
3.分析工具Analysis tools
Sguil提供管理各種警示和事件的資料平台,甚至直接進行DNS lookup查詢;還有Squert從Sguil叫出資料提供網頁介面,讓我們檢視來自HIDS和NIDS警示、日誌等資訊;Enterprise Log Search and Archive (ELSA) 提供多樣功能,基本上就是類似SIEM的日誌管理套件。其他還有CapMe、Xplico等等工具。
沒了。對,關於分析工具的介紹只到這裡,因為很快就不重要了。
去年的SecTor2017大會上,主講者Michael Otto丟下一顆震撼彈:2017年10月31日,ELK 已經整合至Security Onion。
沒錯!Day 21我介紹的加拿大馬鹿ELK,已經整合至Security Onion。那天聽到的時候我差點站起來!現在下載的ISO檔已經有包含ELK/Elastic Stack,安裝時可以選擇原有的ELSA或是Elastic,雖然它現在還強調是實驗階段,但是只要安裝好Security Onion,你就可以享有一套完整包含HIDS/NIDS的網路安全監控方案,外加功能強大的SIEM,而且完全免費,正如主講者Michael Otto所說:“All of this is available to you, for nothing, zero cost, but the time”。還等什麼呢?捲起袖子,來玩安全洋蔥Security Onion吧!