Установка SecurityOnion в Yandex Cloud

SecurityOnion

Security Onion - это дистрибутив Linux, предназначенный для мониторинга безопасности, обнаружения инцидентов и анализа сетевого трафика. Он интегрирует различные инструменты для обеспечения безопасности сети, включая системы обнаружения вторжений (IDS), системы обнаружения аномалий (ADS), системы анализа безопасности, инструменты сбора и анализа журналов и многие другие. Security Onion обеспечивает мощные возможности мониторинга и анализа для организаций, желающих улучшить свою защиту от киберугроз.

Установка SecurityOnion (SO) в Яндекс Облако

  1. Прежде чем приступить к установке SecurityOnion, необходимо создать виртуальную машину из предварительно подготовленного образа.

Входные параметры для создания виртуальной машины представлены в таблице 1:

НаименованиеЗначение
CPU cores10
Memory20 GB
disk size256 GB
NICs2

Таблица 1. Параметры для виртуальной машины

Обратите внимание, что в таблице приведены только минимальные значения!

  1. После настройки виртуальной машины с необходимыми параметрами, необходимо выполнить подключение по SSH, после чего должно открыться окно установщика, как это показано на рисунке 1.

Рис. 1. Окно установки SecurityOnion

Требуется нажать Yes, тем самым перейдя к следующему шагу.

  1. На следующем экране предлагается выбрать тип установки, как это показано на рисунке 2.

Рис. 2. Выбор типа установки

Для упрощения процесса рекомендуется выбрать режим Standalone. Более подробную информацию о доступных типах установки можно найти в официальной документации .

  1. На следующем экране пользователю предлагается ознакомиться с лицензионным соглашением. Окно представлено на рисунке 3.

Рис. 3. Окно лицензирования

Необходимо ознакомиться с лицензированием . Если пользователь с ним согласен, требуется ввести “AGREE” и перейти к следующему шагу.

  1. Необходимо задать имя хоста (не FQDN!), как это представлено на рисунке 4.

Рис. 4. Определение имени хоста

На этом шаге требуется выбрать Yes и перейти на следующий шаг, окно которого представлено на рисунке 5.

Рис. 5. -------

  1. Требуется внимательно прочесть предупреждение об DHCP и согласиться с рисками. Окно предупреждения представлено на рисунке 6.

Рис. 6. Окно предупреждения о DHCP

  1. При выборе интерфейса управления необходимо отметить первый из списка. По этому интерфейсу будет предоставляться доступ к веб-интерфейсу.
⚠️
Разработчики рекомендуют использовать VPN для доступа к веб-интерфейсу, как это показано на рисунке 7.

Рис. 7. Выбор сетевого интерфейса для доступа к веб-интерфейсу

  1. Для продолжения настройки требуется перейти на следующий экран, который представлен на рисунке 8.

Рис. 8. Выбор типа соединения с интернетом

Если в своей работе пользователь не использует прокси сервер, необходимо выбрать Direct и перейти к следующему шагу, который представлен на рисунке 9.

Рис. 9.

Если пользователь не может однозначно ответить на этот вопрос, следует выбрать “Yes” и перейти к следующему экрану.

  1. На этом шаге необходимо выбрать интерфейс или интерфейсы для мониторинга, как это показано на рисунке 10.

Рис. 10. Выбор интерфейса

В примере выбирается существующий интерфейс. Выбор осуществляется нажатием на клавишу “пробел”.

  1. Необходимо создать пользователя для веб-интерфейса и задать пароль, как это показано на рисунке 11. В первом окне задается e-mail администратора.

Рис. 11. Настройка email администратора

Следующим шагом необходимо придумать надежный пароль, соответствующий стандартам криптостойкости и политике безопасности организации пользователя. Окно ввода пароля показано на рисунке 12.

Рис. 12. Настройка пароля администратора

  1. После того, как настройка пользователя закончена, следует перейти к выбору доступа к веб-интерфейсу.

Если пользователи находятся во внутренней сети, необходимо выбрать IP или HOSTNAME, как это показано на рисунке 13.

Рис. 13. Выбор доступа к веб-интерфейсу

В примере выбирается OTHER и вводится внешний IP-адрес виртуальной машины, как это показано на рисунке 14.

Рис. 14. Ввод имени или IP виртуальной машины

Важно!

*Разработчики не гарантируют, что такая схема будет работать и не изменится в будущем, поэтому мы рекомендуем использовать внутренний IP-адрес с доступом через VPN.

  1. Следующим шагом необходимо разрешить доступ к веб-интерфейсу. Контекстное окно показано на рисунке 15.

Рис. 15. Разрешение доступа к веб-интерфейсу

ПНеобходимо выбрать “Yes”, и на следующем экране ввести либо IP-адрес, либо подсеть, из которой будет разрешен доступ. На примере, который показан на рисунке 16, доступ к веб-интерфейсу разрешен со всех подсетей.

Рис. 16. Определение границ доступа к веб-интерфейсу

  1. В следующем окне отображены все настройки, которые пользователь выбрал на предыдущих шагах. Необходимо проверить, что все введено верно и нажать “Yes”. Окно с настройками представлено на рисунке 17.

Рис. 17. Итоговые настройки SecurityOnion

Начнется процесс установки и настройки SecurityOnion. Это может занять до 2-х часов, все зависит от конфигурации виртуальной машины.

Например, для виртуальной 10 vCPU,20GB RAM и диска размером 256 GB установка и настройка заняла 1 час и 30 минут.

После успешной установки вы должны увидеть уведомление, которое представлено на рисунке 18.

Рис. 18. Уведомление об окончании установки

На этом установка завершена. Пользователь может авторизоваться в веб-интерфейсе с заданными во время настройки именем пользователя и паролем.