Implementar SOC: Instalar Security Onion sobre Proxmox
Hoy vamos a hablar de un producto Linux que realiza varias de las funciones que ya hemos mostrado en otras entradas, pero que para los que empiezan en estos temas puede ser muy útil.
Se trata de Security Onion y su solución todo en uno…os explico en qué consiste y como podemos montarlo sobre un entorno virtualizado Proxmox. No lo voy a usar, porque quiero usar cada herramienta por separado, pero me parece muy interesante mostrarlo…
¿Qué es Security Onion?
Security Onion es una distribución de Linux gratuita, basado en Oracle Linux, y de código abierto para la detección de intrusiones, monitoreo de seguridad y administración de log. Es una solución robusta que integra múltiples herramientas de seguridad como Suricata, Zeek (anteriormente conocido como Bro), OSSEC, Kibana, Elasticsearch y Logstash. Estas herramientas trabajan juntas para proporcionar una visión completa de la red y ayudar en la identificación y respuesta a amenazas.
Security Onion puedes instalarlo en tu propio hardware, pero también puedes comprar dispositivos dedicados o appliance dependiendo de tus necesidades.
Descripción de Security Onion
Security Onion facilita la implementación y administración de un conjunto completo de herramientas de seguridad. Permite a los administradores de red y profesionales de seguridad:
- Detectar amenazas y ataques en tiempo real.
- Monitorear el tráfico de red y los logs de eventos.
- Correlacionar eventos de diferentes fuentes.
- Realizar análisis forense de incidentes de seguridad.
- Administrar alertas y eventos de seguridad de manera centralizada.
Ejemplos de uso para Security Onion
- Monitoreo de Red: Security Onion puede capturar y analizar el tráfico de red en tiempo real, proporcionando visibilidad de actividades sospechosas o maliciosas.
- Detección de Intrusiones: Utiliza Suricata y Zeek para detectar patrones de ataque y comportamientos anómalos en la red.
- Respuesta a Incidentes: Facilita el análisis y la respuesta rápida a incidentes de seguridad mediante la correlación de eventos y la visualización de datos en Kibana.
- Análisis Forense: Permite a los analistas realizar investigaciones detalladas de eventos de seguridad pasados.
Productos parecidos a Security Onion
- Splunk: Una plataforma para la búsqueda, monitoreo y análisis de big data generado por máquinas.
- AlienVault OSSIM: Otra solución de código abierto que proporciona detección de intrusiones, administración de eventos de seguridad y monitoreo de red.
- ELK Stack (Elasticsearch, Logstash, Kibana): Un conjunto de herramientas de análisis de logs que se puede utilizar para la supervisión y análisis de seguridad.
- Snort: Un sistema de detección de intrusiones en red de código abierto.
Montando Security Onion en Proxmox
A continuación, os detallo los pasos para montar Security Onion en un entorno virtualizado con Proxmox. El primer paso es descargar la ISO y cargarla en vuestro storage de Proxmox para poder montarlo.
Descarga: https://securityonionsolutions.com/software
Requerimientos Security Onion en Proxmox
- Hardware: Asegúrate de tener suficiente CPU, RAM y almacenamiento. Para un entorno básico, se recomiendan al menos 4 vCPUs, 8GB de RAM (según la versión 16GB mínimo) y 100GB de disco. También una o dos tarjetas de red
- Proxmox VE: Un host Proxmox VE debidamente configurado y actualizado. Mi versión la 8.2.2
- Imagen ISO de Security Onion: Descargada desde el sitio oficial de Security Onion. Voy a montar la versión actual 2.4.80
Pasos de Instalación
- Crear una Máquina Virtual en Proxmox
-
- Accede a la interfaz web de Proxmox y selecciona “Create VM”.
- Configura los parámetros básicos: Nombre, nodo, almacenamiento, etc.
- En la pestaña “OS”, selecciona la imagen ISO de Security Onion previamente subida.
- Configura el resto de parámetros como CPU, memoria y disco según los requerimientos.
- En la pestaña “Network”, selecciona el tipo de adaptador de red que se ajuste a tus necesidades (VirtIO es recomendado).
-
- Instalación de Security Onion
-
- Inicia la máquina virtual y arranca desde la imagen ISO.
-
- Nos va a pedir la destrucción de los datos, le decimos que YES:
-
- Introducimos el usuario y contraseña que queremos usar y comienza el proceso de instalación:
-
- Cuando termine, te pedirá reiniciar y posteriormente comenzará la personalización. Sigue las instrucciones del instalador para configurar el sistema, es bastante intuitivo. Esto incluye:
-
- Configuración de la red.
- Selección del tipo de instalación (Evaluación, Producción, etc.).
- Creación de usuarios y contraseñas como hemos indicado antes.
- Selección de herramientas a instalar (Zeek, Suricata, etc.).
-
- Cuando termine, te pedirá reiniciar y posteriormente comenzará la personalización. Sigue las instrucciones del instalador para configurar el sistema, es bastante intuitivo. Esto incluye:
-
- Configuración Inicial
-
- Una vez completada la instalación, accede a la interfaz de Security Onion a través de un navegador web utilizando la IP de la máquina virtual.
- Realiza la configuración inicial desde la interfaz web:
- Agrega sensores y define políticas de monitoreo.
- Configura alertas y dashboards en Kibana.
- Ajusta las reglas de detección en Suricata y Zeek.
-
- Optimización y Seguridad
- Optimización: Ajusta la configuración de las herramientas para mejorar el rendimiento. Esto incluye la optimización de Elasticsearch y el ajuste de las reglas de detección para reducir falsos positivos.
- Seguridad: Asegura la máquina virtual mediante la configuración de reglas de firewall, actualización regular del sistema y el uso de autenticación multifactor (MFA) para el acceso.
- Gestión servicios:
- Os dejo unos comandos para gestionar el sistema:
ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE
-
- Crear SOC mediante herramientas OpenSource
- Implementar SOC: Instalación Suricata bajo Proxmox
- Instalar Docker sobre contenedor LXC Proxmox
- Implementar SOC: Instalación Wazuh
- Implementar SOC: Instalar TheHive, Cortex y MISP
- Implementar SOC: Instalación Patrowl
- Implementar SOC: Instalación Opensearch
- Implementar SOC: Decoders, Playbooks y Workflows
- Implementar SOC: Directorios Windows, Linux y MacOS a revisar
- Implementar SOC: Monitorización Completa con Prometheus, AlertManager, Grafana y Loki bajo Contenedores
- Implementar SOC: Instalar Security Onion sobre Proxmox
- Implementar SOC: Códigos de estado, Mensajes y Alertas
- Suricata: Cómo crear y testear reglas personalizadas
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?