Cyber Security: Security Onion setelah Instalasi

Tuning firewall rules menggunakan so-allow

Tergantung pada jenis penginstalan yang Anda lakukan, Setup wizard mungkin telah memandu Anda melalui penambahan aturan firewall untuk mengizinkan alamat IP analis Anda. Jika Anda perlu mengizinkan alamat IP lain, Anda dapat menjalankan so-allow secara manual.

Service

Vertifikasi service berjalan dengan perintah so-status,

sudo so-status

Retensi Data

• Tinjau bagian Kurator dan Elasticsearch untuk melihat apakah Anda perlu mengubah salah satu pengaturan retensi indeks default.

• Full-time analyst mungkin ingin terhubung menggunakan VM Analis khusus. Setiap sistem IDS/NSM perlu di set untuk jaringan yang dipantaunya.

• Konfigurasi OS untuk menggunakan server NTP pilihan Anda.

so-allow

Security Onion mengunci Firewall secara default. Bergantung pada jenis penginstalan yang Anda lakukan, Setup dapat memandu Anda untuk mengizinkan alamat IP analis Anda. Jika Anda perlu menambahkan alamat IP analis lain atau membuka port firewall untuk agen atau perangkat syslog, Anda dapat menjalankan sudo so-allow dan ini akan memandu Anda melalui proses ini.

Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru.

Choose the role for the IP or Range you would like to add

[a] - Analyst - ports 80/tcp and 443/tcp
[b] - Logstash Beat - port 5044/tcp
[e] - Elasticsearch REST API - port 9200/tcp
[f] - Strelka frontend - port 57314/tcp
[o] - Osquery endpoint - port 8090/tcp
[s] - Syslog device - 514/tcp/udp
[w] - Wazuh agent - port 1514/tcp/udp
[p] - Wazuh API - port 55000/tcp
[r] - Wazuh registration service - 1515/tcp

Please enter your selection:

Cek juga menggunakan so-user untuk mengetahui user yang ada di security onion

so-user list

User admin / superuser dari security onion.

Wazuh

Jika Anda memilih opsi analis, izinkan juga akan menambahkan alamat IP analis ke Wazuh safe list. Ini akan mencegah Wazuh Active Response memblokir alamat IP analis.

Automatisasi

Selain menu interaktif yang ditampilkan di atas, Anda dapat memberikan opsi yang diinginkan sebagai argumen baris perintah:

so-allow -h

Usage: /usr/sbin/so-allow [-abefhoprsw] [ -i IP ]

Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru atau rentang CIDR.

Jika Anda menjalankan program ini tanpa argumen, itu akan menampilkan menu bagi Anda untuk memilih opsi Anda.

Jika Anda ingin mengotomatiskan dan melewati menu, Anda dapat meneruskan opsi yang diinginkan sebagai argumen command line.

Contoh

Untuk menambahkan 10.1.2.3 sebagai analyst:

so-allow -a -i 10.1.2.3

Untuk menambahkan 10.1.2.0/24 sebagai osquery:

so-allow -o -i 10.1.2.0/24

Referensi

• https://docs.securityonion.net/en/2.3/post-installation.html#post-installation
• https://docs.securityonion.net/en/2.3/so-allow.html#so-allow

Pranala Menarik

• Cyber Security
• Cyber Security: Security Onion Install
• Cyber Security: Security Onion Konfigurasi
• Cyber Security: Security Onion setelah Instalasi