Difference between revisions of "Cyber Security: Security Onion setelah Instalasi"

From OnnoWiki
Jump to navigation Jump to search
(Created page with "After Installation SSH Key Change Depending on what kind of installation you did, you may have seen a warning at the end of Setup about SSH key changes. _images/so-ssh-harden...")
 
 
(6 intermediate revisions by the same user not shown)
Line 1: Line 1:
After Installation
+
==Tuning firewall rules menggunakan so-allow==
SSH Key Change
 
Depending on what kind of installation you did, you may have seen a warning at the end of Setup about SSH key changes.
 
  
_images/so-ssh-harden.png
+
Tergantung pada jenis penginstalan yang Anda lakukan, Setup wizard mungkin telah memandu Anda melalui penambahan aturan firewall untuk mengizinkan alamat IP analis Anda. Jika Anda perlu mengizinkan alamat IP lain, Anda dapat menjalankan so-allow secara manual.
For more information, see the SSH section.
 
  
Adjust firewall rules using so-allow
+
==Service==
Depending on what kind of installation you did, the Setup wizard may have already walked you through adding firewall rules to allow your analyst IP address(es). If you need to allow other IP addresses, you can manually run so-allow.
 
  
Services
+
Vertifikasi service berjalan dengan perintah so-status,
Verify services are running with the so-status command:
 
sudo so-status
 
Data Retention
 
Review the Curator and Elasticsearch sections to see if you need to change any of the default index retention settings.
 
Other
 
Full-time analysts may want to connect using a dedicated Analyst VM.
 
Any IDS/NSM system needs to be tuned for the network it’s monitoring. Please see the Tuning section.
 
Configure the OS to use your preferred NTP server.
 
  
 +
sudo so-status
  
 +
==Retensi Data==
  
 +
* Tinjau bagian Kurator dan Elasticsearch untuk melihat apakah Anda perlu mengubah salah satu pengaturan retensi indeks default.
  
 +
* Full-time analyst mungkin ingin terhubung menggunakan VM Analis khusus. Setiap sistem IDS/NSM perlu di set untuk jaringan yang dipantaunya.
  
 +
* Konfigurasi OS untuk menggunakan server NTP pilihan Anda.
 +
 +
 +
==so-allow==
 +
 +
Security Onion mengunci Firewall secara default. Bergantung pada jenis penginstalan yang Anda lakukan, Setup dapat memandu Anda untuk mengizinkan alamat IP analis Anda. Jika Anda perlu menambahkan alamat IP analis lain atau membuka port firewall untuk agen atau perangkat syslog, Anda dapat menjalankan sudo so-allow dan ini akan memandu Anda melalui proses ini.
 +
 +
Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru.
 +
 +
Choose the role for the IP or Range you would like to add
 +
 +
[a] - Analyst - ports 80/tcp and 443/tcp
 +
[b] - Logstash Beat - port 5044/tcp
 +
[e] - Elasticsearch REST API - port 9200/tcp
 +
[f] - Strelka frontend - port 57314/tcp
 +
[o] - Osquery endpoint - port 8090/tcp
 +
[s] - Syslog device - 514/tcp/udp
 +
[w] - Wazuh agent - port 1514/tcp/udp
 +
[p] - Wazuh API - port 55000/tcp
 +
[r] - Wazuh registration service - 1515/tcp
 +
 +
Please enter your selection:
 +
 +
 +
Cek juga menggunakan so-user untuk mengetahui user yang ada di security onion
 +
 +
so-user list
 +
 +
User admin / superuser dari security onion.
 +
 +
==Wazuh==
 +
 +
Jika Anda memilih opsi analis, izinkan juga akan menambahkan alamat IP analis ke Wazuh safe list. Ini akan mencegah Wazuh Active Response memblokir alamat IP analis.
 +
 +
==Automatisasi==
 +
 +
Selain menu interaktif yang ditampilkan di atas, Anda dapat memberikan opsi yang diinginkan sebagai argumen baris perintah:
 +
 +
so-allow -h
 +
 +
Usage: /usr/sbin/so-allow [-abefhoprsw] [ -i IP ]
 +
 +
Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru atau rentang CIDR.
 +
 +
Jika Anda menjalankan program ini tanpa argumen, itu akan menampilkan menu bagi Anda untuk memilih opsi Anda.
 +
 +
Jika Anda ingin mengotomatiskan dan melewati menu, Anda dapat meneruskan opsi yang diinginkan sebagai argumen command line.
 +
 +
==Contoh==
 +
 +
Untuk menambahkan 10.1.2.3 sebagai analyst:
 +
 +
so-allow -a -i 10.1.2.3
 +
 +
Untuk menambahkan 10.1.2.0/24 sebagai osquery:
 +
 +
so-allow -o -i 10.1.2.0/24
  
 
==Referensi==
 
==Referensi==
  
 
* https://docs.securityonion.net/en/2.3/post-installation.html#post-installation
 
* https://docs.securityonion.net/en/2.3/post-installation.html#post-installation
 +
* https://docs.securityonion.net/en/2.3/so-allow.html#so-allow
 +
 +
 +
==Pranala Menarik==
 +
 +
* [[Cyber Security]]
 +
* [[Cyber Security: Security Onion Install]]
 +
* [[Cyber Security: Security Onion Konfigurasi]]
 +
* [[Cyber Security: Security Onion setelah Instalasi]]

Latest revision as of 09:00, 18 July 2023

Tuning firewall rules menggunakan so-allow

Tergantung pada jenis penginstalan yang Anda lakukan, Setup wizard mungkin telah memandu Anda melalui penambahan aturan firewall untuk mengizinkan alamat IP analis Anda. Jika Anda perlu mengizinkan alamat IP lain, Anda dapat menjalankan so-allow secara manual.

Service

Vertifikasi service berjalan dengan perintah so-status, 

sudo so-status

Retensi Data

  • Tinjau bagian Kurator dan Elasticsearch untuk melihat apakah Anda perlu mengubah salah satu pengaturan retensi indeks default.
  • Full-time analyst mungkin ingin terhubung menggunakan VM Analis khusus. Setiap sistem IDS/NSM perlu di set untuk jaringan yang dipantaunya.
  • Konfigurasi OS untuk menggunakan server NTP pilihan Anda.


so-allow

Security Onion mengunci Firewall secara default. Bergantung pada jenis penginstalan yang Anda lakukan, Setup dapat memandu Anda untuk mengizinkan alamat IP analis Anda. Jika Anda perlu menambahkan alamat IP analis lain atau membuka port firewall untuk agen atau perangkat syslog, Anda dapat menjalankan sudo so-allow dan ini akan memandu Anda melalui proses ini.

Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru. 

Choose the role for the IP or Range you would like to add

[a] - Analyst - ports 80/tcp and 443/tcp
[b] - Logstash Beat - port 5044/tcp
[e] - Elasticsearch REST API - port 9200/tcp
[f] - Strelka frontend - port 57314/tcp
[o] - Osquery endpoint - port 8090/tcp
[s] - Syslog device - 514/tcp/udp
[w] - Wazuh agent - port 1514/tcp/udp
[p] - Wazuh API - port 55000/tcp
[r] - Wazuh registration service - 1515/tcp

Please enter your selection:


Cek juga menggunakan so-user untuk mengetahui user yang ada di security onion 

so-user list

User admin / superuser dari security onion.

Wazuh

Jika Anda memilih opsi analis, izinkan juga akan menambahkan alamat IP analis ke Wazuh safe list. Ini akan mencegah Wazuh Active Response memblokir alamat IP analis.

Automatisasi

Selain menu interaktif yang ditampilkan di atas, Anda dapat memberikan opsi yang diinginkan sebagai argumen baris perintah: 

so-allow -h

Usage: /usr/sbin/so-allow [-abefhoprsw] [ -i IP ]

Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru atau rentang CIDR.

Jika Anda menjalankan program ini tanpa argumen, itu akan menampilkan menu bagi Anda untuk memilih opsi Anda.

Jika Anda ingin mengotomatiskan dan melewati menu, Anda dapat meneruskan opsi yang diinginkan sebagai argumen command line.

Contoh

Untuk menambahkan 10.1.2.3 sebagai analyst: 

so-allow -a -i 10.1.2.3

Untuk menambahkan 10.1.2.0/24 sebagai osquery: 

so-allow -o -i 10.1.2.0/24

Referensi


Pranala Menarik

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=Cyber_Security:_Security_Onion_setelah_Instalasi&oldid=69209"