Security Onion, tehdit avcılığı, kurumsal güvenlik izleme ve günlük yönetimi için ücretsiz ve açık bir platformdur. 2 milyondan fazla indirildi ve dünya çapında güvenlik ekipleri tarafından kullanılıyor. Security Onion 2.4 birçok güncellemeyle birlikte gelir ve düzeltme 2.4.10 sürümü GitHub’da mevcuttur.
Ağ görünürlüğü için Suricata aracılığıyla imza tabanlı algılama, Zeek veya Suricata kullanarak zengin protokol meta verileri ve dosya çıkarma, Stenographer aracılığıyla tam paket yakalama ve Strelka aracılığıyla dosya analizi sunarlar.
Security Onion, ana bilgisayar görünürlüğü için veri toplama, osquery aracılığıyla canlı sorgular ve Elastic Fleet kullanarak merkezi yönetim sağlayan Elastic Agent’ı sunar. Daha da fazla kurumsal görünürlük için OpenCanary tabanlı izinsiz giriş tespit balküpleri dağıtımınıza eklenebilir. Tüm bu günlükler Elasticsearch’e akıyor ve uyarılar, kontrol panelleri, tehdit avcılığı, vaka yönetimi ve ağ yönetimi için kendi kullanıcı arayüzlerini oluşturdular.
Security Onion 2.4’teki yeni özellikler
Geçtiğimiz yıl Security Onion 2.4’ü geliştiren geliştiriciler, size daha iyi bir deneyim sunmak ve sizi daha verimli kılmak için yeni özellikler ekledi:
Security Onion Console (SOC), bir savunma oyuncusu olarak sizi daha verimli hale getirecek birçok yeni özelliğe sahiptir:
- SOC artık mevcut veya yeni bir vakaya gözlemlenebilir olarak Hunt, Kontrol Panelleri veya Uyarılar’daki bir kayıttan doğrudan bir değer eklemenize olanak tanıyor
- SOC, yeni bir DNS arama özelliği içerir
- SOC, sayılarla ilgili ilişkisel operatörler için pivotlar içerir
- SOC Vakaları dinamik gözlemlenebilir çıkarımı destekler
- SOC, PCAP ve EVTX dosyalarını içe aktarabilir
SOC’nin birçok yeni yönetim özelliği vardır; böylece dağıtımınızı yönetmeye daha az, rakipleri avlamaya daha fazla zaman ayırabilirsiniz.
- Kullanıcıları SOC’nin Yönetim bölümü aracılığıyla yönetebilirsiniz
- SOC’nin Yönetim bölümü ayrıca düğüm ekleme ve kaldırma işlemlerini yönetmek için yeni bir Grid Üye Arayüzü içerir
- Dağıtımınızın çoğu yönünü Yapılandırma arayüzü aracılığıyla yapılandırabilirsiniz
- SOC’nin Izgara arayüzü, düğümleriniz hakkında daha fazla durum bilgisi gösterecek şekilde geliştirildi
- Yükleyici basitleştirildi ve ızgaranın yeni üyelerinin yapılandırılması Izgara Üyeleri arayüzünde gerçekleştirilecek
- SOC kimlik doğrulaması, hız sınırlayıcı oturum açma istekleri gibi ek kimlik doğrulama korumalarını içerecek şekilde yükseltildi. Ayrıca Webauthn aracılığıyla şifresiz oturum açmayı da destekler
Uç nokta telemetrisi daha güçlüdür ve yönetimi daha kolaydır.
- Birincil uç nokta aracısı artık Elastic Agent’tır ve gömülü osquery aracılığıyla veri toplama ve canlı sorgular sağlar. Önceki osquery, Beats ve Wazuh’un yerini alır
- Elastic Agent, Elastic Fleet’te yönetilir
- Elastik Aracı ve Elastik Filo, Elastik Entegrasyonları destekler
- Grafana kaldırıldı ve tüm sağlık ölçümleri InfluxDB’de bulunabilir
- Security Onion ISO görüntüsü CentOS 7’den Oracle Linux 9’a yükseltildi