Установка SecurityOnion в Yandex Cloud
SecurityOnion
Security Onion - это дистрибутив Linux, предназначенный для мониторинга безопасности, обнаружения инцидентов и анализа сетевого трафика. Он интегрирует различные инструменты для обеспечения безопасности сети, включая системы обнаружения вторжений (IDS), системы обнаружения аномалий (ADS), системы анализа безопасности, инструменты сбора и анализа журналов и многие другие. Security Onion обеспечивает мощные возможности мониторинга и анализа для организаций, желающих улучшить свою защиту от киберугроз.
Установка SecurityOnion(SO) в Яндекс Облако
Прежде чем приступить к установке SecurityOnion, необходимо создать виртуальную машину из предварительно подготовленного образа.
Входные параметры
| CPU cores | 10 |
| Memory | 20 GB |
| disk size | 256 GB |
| NICs | 2 |
В таблицы приведены только минимальные значения!
Настройте виртуальную машину с необходимыми параметрами и выполните подключение по SSH. После подключения по SSH должно открыться окно установщика.
Нажимаем “yes” и переходим к следующему шагу.
На последующем экране предлагается выбрать тип установки.
Для упрощения процесса выбираем режим Standalone. Более подробную информацию о доступных типах установки можно найти в официальной документации
.
Выбираем и переходим к следующему экрану
Необходимо ознакомиться с лицензированием и если все устраивает набираем “AGREE” и переходим дальше
Следующим шагом задаем необходимо имя хоста, не fqdn
Следующий шаг не является обязательным и его можно пропустить, и переходим дальше
На этом шаге у нас все есть, так что выбираем Yes и переходим на следующий шаг.
Читаем внимательно предупреждение об dhcp и соглашаемся с рисками
Затем выберите Management интерфейс, выбираем первый в списке.
Этот интерфейс предоставит доступ к веб-интерфейсу.
Внимание!
Разработчики рекомендуют использовать VPN для доступа к веб-интерфейсу.
Выбираем и переходим на следующий экран
Если у вас не используется прокси сервер тогда выбираем Direct и идем дальше
Если не уверены, то просто выбираем Yes и переходим дальше. Обычно этого более чем достаточно
На следующем экране необходимо выбрать интерфейс или интерфейсы для Monitor
В моем случае пробелом я выбрал, второй интерфейс который у меня есть.
Далее необходимо создать пользователя для веб-интерфейса и задать пароль
Жестких требований к email для администратора нет, нажимаем OK.
Придумайте надежный пароль, соответствующий стандартам криптостойкости и политике безопасности вашей организации.
После того как мы закончили с пользователем и паролем, приступаем к выбору доступа к web-ui.
Если у вас полностью внутренняя сеть, тогда необходим выбрать IP или HOSTNAME
В моем случае я выбираю OTHER и ввожу public ip виртуальной машины. Разработчики не гарантируют, что это будет работать и не измениться в будущем. Лучше использовать связку private ip + vpn
Далее разрешаем доступ к web-ui
Просто выбираем Yes и на следующем экране вводим либо ip, либо подсеть кому будет разрешен доступ.
Я разрешил всем доступ к web-ui со всех подсетей
Проверяем все что мы вводили на предыдущих шагах и если все верно выбираем Yes
Начнется процесс установки и настройки SecurityOnion, сам процесс может занять до 2-х часов, все зависит от вашей конкретной конфигурации виртуальной машины
Например, для виртуальной 10 vCPU,20GB RAM и диска размером 256 GB установка и настройка заняла 1 час и 30 минут
После успешной установки Вы должны увидеть уведомление
На этом установка завершена и вы можете залогиниться с именем пользователя и паролем в веб-интерфейс