SecurityOnion Solution
Ubuntu
어댑터1개(어댑터에 브릿지 : 모두허용)
기존의 SecurityOnion을 디스크에서 제거하기
UserName/PassWord 지정하기
재부팅 후 로그인하기 (soso/1234)
Setup -> /etc/.../interface 선택
static IP 로 진행
연결되지않는 IP를 찾은 후 Static IP으로 지정하기
서브넷 마스크 255.255.255.0
내 게이트웨이 IP 주소 입력
KT의 DNS Server IP
domain name 임의로 설정하기(example.com)
재부팅 후 Setup
YES 클릭하고 스킵하기
Evaluation Mode 평가판 모드로 진행(기능은 동일)
UserID : SOSO / PW: 123456
.../downloaded.rules .../local.rules 에서 rule 수정
수정 후에는 sudo rule-update
sudo so-allow
Kibana - 시각화
ELK Stack
nsm 내부
rule파일 내부
suricata 와 같은 rules 파일처럼 비슷한 rule이 많음
sudo vi securityonion.conf
53번 local_nids_rule_tuning=yes로 변경하기
sudo vi templates/snort/snort.conf
45번 IP 수정
rule 경로
필요 시 561번 downloaded.rules 주석 처리
sudo vi rules/local.rules
ㅌ스
sudo rule-update
sudo so-status
sudo so-sguild-status
sudo so-sensor-status
status 명령어
시스템계정이 아닌 UserName 입력 (SOSO/123456)
Select All 체크
원하는 이벤트 누르고 F9누르면 주석 달기
상위관리자에게 전달 : F9
RT : Real Time ST : squert
F1 - 허용되지 않은 관리자 접근
F2 - 허용되지 않은 사용자 접근
F3 - 허용하지 않은 접근 시도
F4 - 성공한 서비스 거부 공격
F5 - 보안 취약점을 이용한 공격(정책 위반)
F6 - 스캔 / 조사 / 염탐
F7 - 바이러스 감염
F8 - 불필요한 이벤트(N/A로 처리)
F9 - 판단하기 어려운 경우 상위 관리자 전달
