Siber Karanlığa Karşı Aydınlığın Gücü: Security Onion
Bu blog yazımda , Security Onion arayüzü üzerinde adım adım neler gerçekleştirilebileceğini ve ne gibi sistemleri bünyesinde barındırdığı ile ilgili kısa bir bakış sağlamaya çalıştım Keyifli okumalar dilerim .
Overview:
Gösterge panelinizde göreceğiniz belirli öğeler, yapılandırmanıza bağlı olarak değiştirmeyi, yenilikleri, cheatsheetleri bulabildiğimiz ana giriş panel ekranıdır. Özelleştirmeleri hangi komut araçlığı ile gerçekleştireceğimizi ve aktif hale getireceğimizi görüntüler.
Alert: Alanında ağda alınan wazuh ve suricata araçları tarafından incelenen logların aktarıldığı ve kategorize edildiği alandır. Buradan ilgili alarmaların kontrollerini veya hangi alarmların geldiğini kontrol edebiliyoruz. Alarmları fulse/pozitif olarak tanımlayabilir ve exculude/include edebildiğimiz modüldür. Bu modül içerisinden ilgili bir alarmı diğer bir modüle veya araca gönderip daha detaylı incelemeler yapmaya imkan sağlamaktadır.
Dashboard : Sistemle ilgili genel bir bakış sağlar ve sistem durumu, güvenlik olayları, giren çıkan trafik ile ilgli bilgiler sistem kayıtları gibi bilgileri grafiksel olarak sunar. Grup ölçümlerine yer verir ve güvenlik durumlarını görmeyi sağlar ve raporlamalar sağlar. Özelleştirilebilirdir ve kendi düzenimize göre yapılandırabiliriz.
Hunt: thread hunting yapmayı sağlayan alandır. Çeşitli filtreler aracılığı ile araştırmalar yapabildiğiniz bunlar ile ilgili bilgi alabildiğimiz ve grafik arayüzü sayesinde oluşan anomalileri grafiksel olarak inceleme yapabildiğimiz Alert modülünde bulunan ilgili bir olayı hunt modülüne göndererek inceleme yapabildiğimiz modüldür.
Cases: Bu modül altında oluşturulmuş olan case’ler yer almaktadır. Bu modül bizlere caselerin kontrollerini yapabilmeyi , yeni caseler oluşturmayı(bir olay gerçekleştiğin olay ile ilgili yapılan işlemler , olayın ne olduğu, eventsleri vb. gibi verileri burada not ekleyerek oluşturulur.) ve yönetmeyi sağlar.
Pcap:Pcap dosyalarını Suricata veya Bro gibi diğer araçlarla analiz etmeyi ve anomalileri belirlemeyi sağlamakla beraber wireshark benzeri uygulamalar gibi ağ üzerinde pcap dosyaları üzerinde filtrelemeler sağlar..
Grid: bir ağ analiz modülüdür. Bağlı olan clientlara nelerin gelip gittiğini, EPS durumlarını, Pcap dosyasının o cihaz üzerinde en son ne zaman aldığı, bağlı cihazın uptime bilgileri gibi bilgilerine erişim sağladığımız alandır. Grid'in sağladığı bilgiler, ağ performansını izlemek, ağ güvenliğini sağlamak ve ağ sorunlarını gidermek için kullanılabilir.
Downloads: Security Onion Agent’ı üzerinde bulunan araçları yükleme, ekleme ve güncelleme gibi işlemleri yapabildiğimiz alandır. Bu işlemleri Sec-OS CLI’ı üzerinden de gerçekleştirebilirken burdan da yapmaya olanak sağlar.
Administration: User ekleme, yapılandırma, ve yetkilendirmelerinin yapıldığı alandır.
Kibana: Kibana yapısı ayrı bir araç olarak farklı bir port üzerinde Greylog gibi bir yapıda bize Elastick Stack yapısını kullanabilmemizi sağlıyor.
Kibana: Kibana yapısı ayrı bir araç olarak farklı bir port üzerinde Greylog gibi bir yapıda bize Elastick Stack yapısını kullanabilmemizi sağlıyor.
Bu araç üzerinde Log incelemelerini yapabilir, manual log yönetimi gerçekleştirebilir, alarm yazabilir,logların katagorizasyonunu sağlar, logların raw hallerini görüntüleyebilir, hunting yapabilir ve network ile ilgili pcap alabilmeyi ve bunları Elasticin sağlamış olduğu dashboard üzerinden grafikselleştirip trafik incelemeleri vb. grafik olarak erişebilmeyi sağlar.
Suricata, Kibana, OSSEC, Kratos, Elastic Search araçlarını bu modül aracılığı ile erişim sağlayabilmekteyiz.
Grafana: Sec-OS kaynak ve verilerinin incelendiği modüldür. Uptime, CPU kullanım oranları ve artış oranları, disk kullanım oranları, network erişim oranları, I/O wait oranları, interface bant durumları gibi oranlara grafiksel olarak erişim sağlandığımız alandır. Bu alanda farklı dataları yönlendirerek çeşitli alarmlar kurarak cihaz çalışmaları ile ilgili durumlara karşılık alarmlar yazılabilir.
CyberChef: Hash kırma , hash kontrolleri , regex işlemleri gibi işlemleri, url encode ve decode ve hash dönüştürme, decrypt ve encrypt gibi işlemleri sağlayan modüldür. Online olarak bir web sitesidir ve Sec-OS olamadan da erişebiliriz.
Playbook: Çeşitli alarmların deeploy edildiği alandır. Alarmları oluşturmak, yönetmek ve dağıtmak için kullanılan bir araçtır. Analiz , Uyarı ve Otomatik müdahele gibi işlemleri yapmaya olanak sağlayan modüldür. Sigma, Elastic ruleları bu alandan kontrol edilebilmektedir.
FleetDM: IT, güvenlik ve altyapı ekipleri için açık kaynaklı bir platformdur. OS Query yönetiminin sağlandığı alandır. Farklı işletim sistemleri, bulut sağlayıcıları ve yerleşik altyapı üzerinde uç noktaları yönetmek için birleşik bir API sağlar. Uç noktalardan veri toplamak, komutlar çalıştırmak, yazılım dağıtmak, Schedule yönetimi ve güvenlik politikalarını uygulamak için kullanılabiliriz. Ajanlara komut göndermek, ajanlardan veri toplamak ve ajanların yapılandırmasını yönetmek için imkan sağlayabilir.
Navigator: Mittre Attack haritasının kontrollerini ve takibini sağlayan modüldür. İlgli harita üzerinde seçilen olayların hangisi ile ilgili olacağını görüntülememizi sağlayabilmektedir.
Kaynakça:
Blog https://blog.securityonion.net
Docs https://securityonion.net/docs
Community Support Forum https://securityonion.net/discussions
Training, Professional Services, Hardware Appliances https://securityonionsolutions.com