O que é Security Onion?
Security Onion é como um cão de guarda virtual para sua rede de computadores. É um pacote de software gratuito e de código aberto que ajuda a monitorar atividades suspeitas em sua rede. É uma distribuição Linux projetada para fornecer visibilidade da segurança da infraestrutura e dos aplicativos de sua rede.
O que isso faz?
Ele monitora o tráfego de rede, procurando sinais de possíveis ameaças ou ataques cibernéticos. Ele pode detectar coisas como acesso não autorizado, malware ou comportamento incomum que possa indicar um problema de segurança.
Os Requisitos de instalação do Security Onion no Microsoft Azure podem ser encontrados no link abaixo:
https://docs.securityonion.net/en/2.4/cloud-azure.html
01 – Faça login no portal do Microsoft Azure.
02 – No portal do Microsoft Azure pesquise por Marketplace.
03 – No Marketplace pesquise por Security Onion, selecione o Security Onion, clique em em Create e selecione Security Onion 2 VM Image.
04 – Na tela de criação da máquina virtual, selecione a assinatura, grupo de recursos, digite um nome para a máquina virtual e região, para a opção Availability options selecione Not infrastructure redundancy required.
Para a opção size seguindo a recomendação do fabricante adicione o seguinte size para a VM D4as_v4.
Em Administrator account deixe selecione a opção SSH public key, em username digite o nome da conta, para a opção SSH public key source vamos deixar a opção padrão, em Key pair name digite um nome para a chave, em seguida clique em Next: Disks.
05 – Em Disks precisamos adicionar um disco com 256 GB, em OS disk size selecione o disco com 256 GiB, em OS Disk type selecione Standard SSD, em seguida clique em Next: Networking.
06 – Em Networking defina o Range de IP para a vnet e subnet, em seguinda clique em Next: Managment.
07 – Em Management não vamos realizar modificações, clique em Next: Monitoring.
08 – Em Monitoring para a opção Diagnostics clique em Disable, em seguida clique em Review + create.
09 – Na tela Review + create clique em Create.
10 – Em Generate new key pair clique em Download para baixar a chave pública.
11 – Como podemos observar a máquina virtual foi criada, clique em Go to resource.
12 – Precisamos criar uma interface de rede de monitoramento para a VM Security Onion, no portal pesquise por Network Interfaces em seguida clique em Create.
13 – Na tela create network interface, selecione a assinatura e grupo de recursos, em name digite um nome para a interface de rede, vamos criar a nic na mesma regição da VM “East US”, selecione a virtual network e subnet, deixe as demais configurações como padrão e clique em Review + create.
14 – Na tela Review + create clique em Create.
15 – Após finalizar a criação do recurso clique em Go to resource.
16 – Como podemos observar a interface de rede foi criada com sucesso.
17 – Precisamos associar a interface de rede so-monitoring-interface a máquina virtual do Security Onion, em Network secleione Network settings, em seguida clique em Attach network interface.
OBS: Para adicionar a interface de rede a VM precisa está desalocada.
18 – Na tela Attach network interface selecione a NIC so-monitoring-interface e clique em OK.
19 – Como podemos observar a interface de rede foi adicionada.
20 – Em seguida ligue a Máquina virtual.
21 – Precisamos logar na máquina virtual para realizar as configurações do Security Onion, vamos utilizar o software Putty para logar na VM, cópie o Public IP address.
O Putty pode ser baixado no link abaixo:
22 – No Putty em Host Name (or IP address) adicione o endereço IP da VM “40.117.62.56”, em seguida expanda SSH, expanda Auth, em seguida selecione Credentials, em Private Key adicione a chave que baixamos da VM, em seguida clique em Open.
23 – Após conectar na máquina virtual temos a tela de configuração do Security Onion.
24 – Na tela inicial de instalação clique em Yes.
25 – Para o tipo de instalação selecione STANDALONE e clique em OK.
26 – Na tela de licenciamento do Elastic digite AGREE e clique em OK.
27 – Adicione o hostname e clique em OK.
28 – Na tela de descrição não vamos adicionar nenhuma informação, clique em OK.
29 – Na tela Warning DHCP clique em OK.
30 – Precisamos identiciar qual é o endereço MAC da interface LAN da máquina virtual, selecione a máquina virtual Security Onion, clique em Network settings, selecione a interface de rede.
31 – Após selecionar interface de rede, clique em Properties, em properties podemos visualizar o MAC address da interface de rede.
32 – Na tela de intalação do Security Onion para opção NIC, como já identificamos o endereço MAC da interface LAN selecione a NIC eth0 e clique em OK.
33 – Na tela de conexão com a Internet selecione a opção Direct e clique em OK.
34 – Na tela default Docker IP range selecione Yes.
35 – Precisamos identificar a interface de monitoramento, siga as etapas 30 e 31.
36 – Na tela de intalação do Security Onion selecione a interface eth1.
37 – Insira o endereço de email que será utilizado como administrador do Security Onion, Elasticsearch e Kibana.
38 – Digite a senha da conta de email e clique em OK.
39 – Repita a senha e clique em OK.
40 – Na tela de acesso a interface web selecione IP e clique em OK.
41 – Vamos permitir o acesso a interface web do Security Onion, clique em Yes.
42 – Vamos permiter acesso ao security Onion para o range de IPs da nossa vnet 10.0.0.0/16.
43 – Na tela de instalação do Security Onion digite o endereço de IP da Vnet “10.0.0.0/16”.
44 – Na tela de telemetria clique em Yes.
45 – Após finalizar as configurações podemos visualizar um resumo das configurações, antes de seguir com processo de instalação, selecione Yes.
46 – Como podemos observar o security Onion foi instalado com sucesso, clique em OK.
Após finalizar a instalação temos o endereço de acesso a console do Security Onion.
https://10.0.0.4
Pós instalação
47 – Atualizar as regras do NIDS
NIDS significa Sistema de detecção de intrusão de rede. É uma forma de monitorar o tráfego da rede, buscar atividades específicas e gerar alertas.
so-rule-update
Login Security Onion
48 – Para acessar a console do Security Onion, precisamos de uma máquina virtual que esteja na rede 10.0.0.0/16, abra o navegador e digite o endereço IP da console do Security Onion.
https://10.0.0.4/
49 – Na tela de mensagem de conexão não privada, clique em Advanced e clique em Continue to 10.0.0.4 (unsafe).
50 – Na tela de login adicione o usuário e senha, em seguida clique em LOGIN.
51 – Como podemos observar autenticamos no Security Onion.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.