Difference between revisions of "Cyber Security: Security Onion setelah Instalasi"
Onnowpurbo (talk | contribs) (Created page with "After Installation SSH Key Change Depending on what kind of installation you did, you may have seen a warning at the end of Setup about SSH key changes. _images/so-ssh-harden...") |
Onnowpurbo (talk | contribs) |
||
(6 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
− | + | ==Tuning firewall rules menggunakan so-allow== | |
− | |||
− | |||
− | + | Tergantung pada jenis penginstalan yang Anda lakukan, Setup wizard mungkin telah memandu Anda melalui penambahan aturan firewall untuk mengizinkan alamat IP analis Anda. Jika Anda perlu mengizinkan alamat IP lain, Anda dapat menjalankan so-allow secara manual. | |
− | |||
− | + | ==Service== | |
− | |||
− | + | Vertifikasi service berjalan dengan perintah so-status, | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | sudo so-status | ||
+ | ==Retensi Data== | ||
+ | * Tinjau bagian Kurator dan Elasticsearch untuk melihat apakah Anda perlu mengubah salah satu pengaturan retensi indeks default. | ||
+ | * Full-time analyst mungkin ingin terhubung menggunakan VM Analis khusus. Setiap sistem IDS/NSM perlu di set untuk jaringan yang dipantaunya. | ||
+ | * Konfigurasi OS untuk menggunakan server NTP pilihan Anda. | ||
+ | |||
+ | |||
+ | ==so-allow== | ||
+ | |||
+ | Security Onion mengunci Firewall secara default. Bergantung pada jenis penginstalan yang Anda lakukan, Setup dapat memandu Anda untuk mengizinkan alamat IP analis Anda. Jika Anda perlu menambahkan alamat IP analis lain atau membuka port firewall untuk agen atau perangkat syslog, Anda dapat menjalankan sudo so-allow dan ini akan memandu Anda melalui proses ini. | ||
+ | |||
+ | Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru. | ||
+ | |||
+ | Choose the role for the IP or Range you would like to add | ||
+ | |||
+ | [a] - Analyst - ports 80/tcp and 443/tcp | ||
+ | [b] - Logstash Beat - port 5044/tcp | ||
+ | [e] - Elasticsearch REST API - port 9200/tcp | ||
+ | [f] - Strelka frontend - port 57314/tcp | ||
+ | [o] - Osquery endpoint - port 8090/tcp | ||
+ | [s] - Syslog device - 514/tcp/udp | ||
+ | [w] - Wazuh agent - port 1514/tcp/udp | ||
+ | [p] - Wazuh API - port 55000/tcp | ||
+ | [r] - Wazuh registration service - 1515/tcp | ||
+ | |||
+ | Please enter your selection: | ||
+ | |||
+ | |||
+ | Cek juga menggunakan so-user untuk mengetahui user yang ada di security onion | ||
+ | |||
+ | so-user list | ||
+ | |||
+ | User admin / superuser dari security onion. | ||
+ | |||
+ | ==Wazuh== | ||
+ | |||
+ | Jika Anda memilih opsi analis, izinkan juga akan menambahkan alamat IP analis ke Wazuh safe list. Ini akan mencegah Wazuh Active Response memblokir alamat IP analis. | ||
+ | |||
+ | ==Automatisasi== | ||
+ | |||
+ | Selain menu interaktif yang ditampilkan di atas, Anda dapat memberikan opsi yang diinginkan sebagai argumen baris perintah: | ||
+ | |||
+ | so-allow -h | ||
+ | |||
+ | Usage: /usr/sbin/so-allow [-abefhoprsw] [ -i IP ] | ||
+ | |||
+ | Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru atau rentang CIDR. | ||
+ | |||
+ | Jika Anda menjalankan program ini tanpa argumen, itu akan menampilkan menu bagi Anda untuk memilih opsi Anda. | ||
+ | |||
+ | Jika Anda ingin mengotomatiskan dan melewati menu, Anda dapat meneruskan opsi yang diinginkan sebagai argumen command line. | ||
+ | |||
+ | ==Contoh== | ||
+ | |||
+ | Untuk menambahkan 10.1.2.3 sebagai analyst: | ||
+ | |||
+ | so-allow -a -i 10.1.2.3 | ||
+ | |||
+ | Untuk menambahkan 10.1.2.0/24 sebagai osquery: | ||
+ | |||
+ | so-allow -o -i 10.1.2.0/24 | ||
==Referensi== | ==Referensi== | ||
* https://docs.securityonion.net/en/2.3/post-installation.html#post-installation | * https://docs.securityonion.net/en/2.3/post-installation.html#post-installation | ||
+ | * https://docs.securityonion.net/en/2.3/so-allow.html#so-allow | ||
+ | |||
+ | |||
+ | ==Pranala Menarik== | ||
+ | |||
+ | * [[Cyber Security]] | ||
+ | * [[Cyber Security: Security Onion Install]] | ||
+ | * [[Cyber Security: Security Onion Konfigurasi]] | ||
+ | * [[Cyber Security: Security Onion setelah Instalasi]] |
Latest revision as of 09:00, 18 July 2023
Tuning firewall rules menggunakan so-allow
Tergantung pada jenis penginstalan yang Anda lakukan, Setup wizard mungkin telah memandu Anda melalui penambahan aturan firewall untuk mengizinkan alamat IP analis Anda. Jika Anda perlu mengizinkan alamat IP lain, Anda dapat menjalankan so-allow secara manual.
Service
Vertifikasi service berjalan dengan perintah so-status,
sudo so-status
Retensi Data
- Tinjau bagian Kurator dan Elasticsearch untuk melihat apakah Anda perlu mengubah salah satu pengaturan retensi indeks default.
- Full-time analyst mungkin ingin terhubung menggunakan VM Analis khusus. Setiap sistem IDS/NSM perlu di set untuk jaringan yang dipantaunya.
- Konfigurasi OS untuk menggunakan server NTP pilihan Anda.
so-allow
Security Onion mengunci Firewall secara default. Bergantung pada jenis penginstalan yang Anda lakukan, Setup dapat memandu Anda untuk mengizinkan alamat IP analis Anda. Jika Anda perlu menambahkan alamat IP analis lain atau membuka port firewall untuk agen atau perangkat syslog, Anda dapat menjalankan sudo so-allow dan ini akan memandu Anda melalui proses ini.
Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru.
Choose the role for the IP or Range you would like to add [a] - Analyst - ports 80/tcp and 443/tcp [b] - Logstash Beat - port 5044/tcp [e] - Elasticsearch REST API - port 9200/tcp [f] - Strelka frontend - port 57314/tcp [o] - Osquery endpoint - port 8090/tcp [s] - Syslog device - 514/tcp/udp [w] - Wazuh agent - port 1514/tcp/udp [p] - Wazuh API - port 55000/tcp [r] - Wazuh registration service - 1515/tcp Please enter your selection:
Cek juga menggunakan so-user untuk mengetahui user yang ada di security onion
so-user list
User admin / superuser dari security onion.
Wazuh
Jika Anda memilih opsi analis, izinkan juga akan menambahkan alamat IP analis ke Wazuh safe list. Ini akan mencegah Wazuh Active Response memblokir alamat IP analis.
Automatisasi
Selain menu interaktif yang ditampilkan di atas, Anda dapat memberikan opsi yang diinginkan sebagai argumen baris perintah:
so-allow -h Usage: /usr/sbin/so-allow [-abefhoprsw] [ -i IP ]
Program ini memungkinkan Anda menambahkan aturan firewall untuk mengizinkan koneksi dari alamat IP baru atau rentang CIDR.
Jika Anda menjalankan program ini tanpa argumen, itu akan menampilkan menu bagi Anda untuk memilih opsi Anda.
Jika Anda ingin mengotomatiskan dan melewati menu, Anda dapat meneruskan opsi yang diinginkan sebagai argumen command line.
Contoh
Untuk menambahkan 10.1.2.3 sebagai analyst:
so-allow -a -i 10.1.2.3
Untuk menambahkan 10.1.2.0/24 sebagai osquery:
so-allow -o -i 10.1.2.0/24
Referensi
- https://docs.securityonion.net/en/2.3/post-installation.html#post-installation
- https://docs.securityonion.net/en/2.3/so-allow.html#so-allow