Security Onion – Detección de intrusos

detectar-intrusos

 

Security Onion es una distribución open source Linux destinada a la seguridad informática, permitiendo la detección de intrusos, monitorización de eventos, analizadores PCAP, y herramientas para el análisis forense.

La ventaja es que las herramientas están configuradas y listas para usar. Únicamente activando el demonio, comenzarán a realizar sus tareas de manera automática.

 

Security Onion - Detección de intrusos

 

Estas son algunas de sus herramientas:

IDS (Sistemas de detección de intrusos) – Snort y Surica
Monitores de eventos – Squil, Squert
Analizadores PCAP – Wireshark, NetworkMiner
Análisis forense – Bro, Xplico

 

Security Onion - Detección de intrusos
Captura de squert

 

Security Onion - Detección de intrusos
Captura kibana

 

Los próximos artículos estarán orientados a realizar una guía de instalación de security onion, de manera STANDALONE.

En una implementación independiente (standalone), los componentes del servidor maestro y los componentes del sensor se ejecutan en una sola caja, por lo tanto, sus requisitos de hardware reflejarán eso. Este tipo de implementación se recomienda para fines de evaluación, POC (prueba de concepto) e implementaciones de sensor único de tamaño pequeño a mediano. Aunque se puede implementar Security Onion de esta manera, se recomienda separar los componentes del backend y los componentes del sensor.

CPU: se utiliza para analizar eventos entrantes, indexar eventos entrantes, buscar metadatos, capturar PCAP, analizar paquetes y ejecutar los componentes frontend. A medida que aumenta el consumo de datos y eventos, se requerirá una mayor cantidad de CPU.
RAM: se utiliza para Logstash, Elasticsearch, caché de disco para Lucene, Snort / Suricata, Bro, Sguil, etc. La cantidad de RAM disponible afectará directamente las velocidades de búsqueda y la confiabilidad, así como la capacidad de procesar y capturar el tráfico.
Disco: utilizado para el almacenamiento de metadatos indexados. Una mayor cantidad de almacenamiento permite un período de retención más largo. Por lo general, no se recomienda almacenar más de 30 días de índices.

Puedes descargar la iso desde la web oficial: Web oficial de security onion

A continuación adjunto guía de instalación en Español:
Instalar Security Onion en Virtualbox 1/4

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*