安全洋葱

概述

安全洋葱是一种入侵检测和网络监控工具。

在你开始之前

Security Onion内置了Snort,因此在同一实例中运行。

可以在Syslog ng conf文件中找到此工具的Syslog配置。更改配置文件中的“destination d_net”和日志行,并确保配置如以下示例所示:

          

           文本

            
           

          

           

            

             1.

            #将邮件发送给其他主机
           

           

            

             2.

            #
           

           

            

             3.

            目标d_网络{udp(“_收集器_ip_地址_”端口(_侦听_端口_在_InsightPlatform中定义));};
           

           

            

             4.

            
           

           

            

             5.

            ....
           

           

            

             6.

            
           

           

            

             7.

            #所有消息都发送到远程站点
           

           

            

             8.

            #
           

           

            

             9

            日志{source(s_syslog);destination(d_net);};

哪里_侦听\u InsightPlatform中定义的\u端口\u该端口是否被定义为Insigrops中的事件源的一部分。

有关安全洋葱的其他文档,请访问本网站.

如何配置此事件源

  1. 从仪表板中,选择左侧菜单上的数据采集
  2. 在页面右上角,选择添加数据
  3. 从安全数据部分选择IDS图标
  4. 选择收集器,并可以选择命名事件源
  5. 从事件源选项列表中,选择安全洋葱
  6. 选择时区,或选择美国时区
  7. (可选)选择发送未筛选的日志
  8. 以分钟为单位配置非活动超时阈值。
  9. 选择侦听系统日志或日志聚合器;两者都要求您指定端口和协议。如果选择TCP,可以选择加密事件源
  10. 如果选择加密,请选择“下载证书”按钮,该按钮将下载Rapid7的证书。将调用此文件Rapid7CA.pem并且允许InsightOps和Security Onion在日志转发期间相互“信任”。