@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

implementar-soc-instalar-security-onion-sobre-proxmox-1

Implementar SOC: Instalar Security Onion sobre Proxmox

Implementar SOC: Instalar Security Onion sobre Proxmox

Hoy vamos a hablar de un producto Linux que realiza varias de las funciones que ya hemos mostrado en otras entradas, pero que para los que empiezan en estos temas puede ser muy útil.

Se trata de Security Onion y su solución todo en uno…os explico en qué consiste y como podemos montarlo sobre un entorno virtualizado Proxmox. No lo voy a usar, porque quiero usar cada herramienta por separado, pero me parece muy interesante mostrarlo…

¿Qué es Security Onion?

Security Onion es una distribución de Linux gratuita, basado en Oracle Linux, y de código abierto para la detección de intrusiones, monitoreo de seguridad y administración de log. Es una solución robusta que integra múltiples herramientas de seguridad como Suricata, Zeek (anteriormente conocido como Bro), OSSEC, Kibana, Elasticsearch y Logstash. Estas herramientas trabajan juntas para proporcionar una visión completa de la red y ayudar en la identificación y respuesta a amenazas.

Security Onion puedes instalarlo en tu propio hardware, pero también puedes comprar dispositivos dedicados o appliance dependiendo de tus necesidades.

implementar-soc-instalar-security-onion-sobre-proxmox-6

Descripción de Security Onion

Security Onion facilita la implementación y administración de un conjunto completo de herramientas de seguridad. Permite a los administradores de red y profesionales de seguridad:

  • Detectar amenazas y ataques en tiempo real.
  • Monitorear el tráfico de red y los logs de eventos.
  • Correlacionar eventos de diferentes fuentes.
  • Realizar análisis forense de incidentes de seguridad.
  • Administrar alertas y eventos de seguridad de manera centralizada.

Ejemplos de uso para Security Onion

  1. Monitoreo de Red: Security Onion puede capturar y analizar el tráfico de red en tiempo real, proporcionando visibilidad de actividades sospechosas o maliciosas.
  2. Detección de Intrusiones: Utiliza Suricata y Zeek para detectar patrones de ataque y comportamientos anómalos en la red.
  3. Respuesta a Incidentes: Facilita el análisis y la respuesta rápida a incidentes de seguridad mediante la correlación de eventos y la visualización de datos en Kibana.
  4. Análisis Forense: Permite a los analistas realizar investigaciones detalladas de eventos de seguridad pasados.

Productos parecidos a Security Onion

  • Splunk: Una plataforma para la búsqueda, monitoreo y análisis de big data generado por máquinas.
  • AlienVault OSSIM: Otra solución de código abierto que proporciona detección de intrusiones, administración de eventos de seguridad y monitoreo de red.
  • ELK Stack (Elasticsearch, Logstash, Kibana): Un conjunto de herramientas de análisis de logs que se puede utilizar para la supervisión y análisis de seguridad.
  • Snort: Un sistema de detección de intrusiones en red de código abierto.

Montando Security Onion en Proxmox

A continuación, os detallo los pasos para montar Security Onion en un entorno virtualizado con Proxmox. El primer paso es descargar la ISO y cargarla en vuestro storage de Proxmox para poder montarlo.

Descarga: https://securityonionsolutions.com/software

implementar-soc-instalar-security-onion-sobre-proxmox-1

Requerimientos Security Onion en Proxmox
  1. Hardware: Asegúrate de tener suficiente CPU, RAM y almacenamiento. Para un entorno básico, se recomiendan al menos 4 vCPUs, 8GB de RAM (según la versión 16GB mínimo) y 100GB de disco. También una o dos tarjetas de red
  2. Proxmox VE: Un host Proxmox VE debidamente configurado y actualizado. Mi versión la 8.2.2
  3. Imagen ISO de Security Onion: Descargada desde el sitio oficial de Security Onion. Voy a montar la versión actual 2.4.80
Pasos de Instalación
  1. Crear una Máquina Virtual en Proxmox
      • Accede a la interfaz web de Proxmox y selecciona “Create VM”.
      • Configura los parámetros básicos: Nombre, nodo, almacenamiento, etc.
      • En la pestaña “OS”, selecciona la imagen ISO de Security Onion previamente subida.
      • Configura el resto de parámetros como CPU, memoria y disco según los requerimientos.
      • En la pestaña “Network”, selecciona el tipo de adaptador de red que se ajuste a tus necesidades (VirtIO es recomendado).

    implementar-soc-instalar-security-onion-sobre-proxmox-2

  2. Instalación de Security Onion
      • Inicia la máquina virtual y arranca desde la imagen ISO.

    implementar-soc-instalar-security-onion-sobre-proxmox-3

      • Nos va a pedir la destrucción de los datos, le decimos que YES:

    implementar-soc-instalar-security-onion-sobre-proxmox-4

      • Introducimos el usuario y contraseña que queremos usar y comienza el proceso de instalación:

    implementar-soc-instalar-security-onion-sobre-proxmox-5

      • Cuando termine, te pedirá reiniciar y posteriormente comenzará la personalización.  Sigue las instrucciones del instalador para configurar el sistema, es bastante intuitivo. Esto incluye:
          • Configuración de la red.
          • Selección del tipo de instalación (Evaluación, Producción, etc.).
          • Creación de usuarios y contraseñas como hemos indicado antes.
          • Selección de herramientas a instalar (Zeek, Suricata, etc.).

        implementar-soc-instalar-security-onion-sobre-proxmox-7

    implementar-soc-instalar-security-onion-sobre-proxmox-9

  3. Configuración Inicial
      • Una vez completada la instalación, accede a la interfaz de Security Onion a través de un navegador web utilizando la IP de la máquina virtual.

    implementar-soc-instalar-security-onion-sobre-proxmox-8

    • Realiza la configuración inicial desde la interfaz web:
      • Agrega sensores y define políticas de monitoreo.
      • Configura alertas y dashboards en Kibana.
      • Ajusta las reglas de detección en Suricata y Zeek.
  4. Optimización y Seguridad
    • Optimización: Ajusta la configuración de las herramientas para mejorar el rendimiento. Esto incluye la optimización de Elasticsearch y el ajuste de las reglas de detección para reducir falsos positivos.
    • Seguridad: Asegura la máquina virtual mediante la configuración de reglas de firewall, actualización regular del sistema y el uso de autenticación multifactor (MFA) para el acceso.
  5. Gestión servicios:

ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE

Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

primeros-pasos-flipper-zero-0

Primeros pasos con Flipper Zero en Español

Primeros pasos con Flipper Zero en Español Hacía tiempo que estaba buscando una forma de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

7 − 2 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu