Security Onion 2.4: plataforma gratuita e aberta para defensores recebe grande atualização

Views: 84
0 0
Read Time:2 Minute, 32 Second

Security Onion é uma plataforma gratuita e aberta para caça a ameaças, monitoramento de segurança empresarial e gerenciamento de logs. Ele foi baixado mais de 2 milhões de vezes e está sendo usado por equipes de segurança em todo o mundo. O Security Onion 2.4 vem com muitas atualizações, e a versão do hotfix 2.4.10 está disponível no GitHub .

Para visibilidade de rede, eles oferecem detecção baseada em assinatura via Suricata, metadados de protocolo avançados e extração de arquivo usando Zeek ou Suricata, captura de pacote completo via Stenographer e análise de arquivo via Strelka.

Para visibilidade do host, o Security Onion oferece o Elastic Agent, que fornece coleta de dados, consultas em tempo real via osquery e gerenciamento centralizado usando o Elastic Fleet. Honeypots de detecção de intrusões baseados em OpenCanary podem ser adicionados à sua implantação para obter ainda mais visibilidade empresarial. Todos esses logs fluem para o Elasticsearch e eles criaram suas próprias UIs para alertas, painéis, busca de ameaças, gerenciamento de casos e gerenciamento de grade.

Novos recursos no Security Onion 2.4

Durante o último ano de desenvolvimento do Security Onion 2.4, os desenvolvedores adicionaram novos recursos para oferecer uma experiência melhor e torná-lo mais eficiente:

O Security Onion Console (SOC) tem muitos recursos novos para torná-lo mais eficiente como defensor:

  • O SOC agora permite adicionar um valor diretamente de um registro em Hunt, Dashboards ou Alerts como um valor observável para um caso novo ou existente
  • SOC inclui um novo recurso de pesquisa de DNS
  • SOC inclui pivôs para operadores relacionais em números
  • Casos SOC suportam extração observável dinâmica
  • SOC pode importar arquivos PCAP e EVTX

O SOC tem muitos novos recursos de administração, para que você gaste menos tempo gerenciando sua implantação e mais tempo caçando adversários.

  • Você pode gerenciar usuários através da seção Administração do SOC
  • A seção de administração do SOC também inclui uma nova interface de membros da grade para gerenciar a adição e remoção de nós
  • Você pode configurar a maioria dos aspectos de sua implantação por meio da interface de configuração
  • A interface Grid do SOC foi aprimorada para mostrar mais informações de status sobre seus nós
  • O instalador foi simplificado e a configuração de novos membros da grade ocorrerá na interface Grid Members
  • A autenticação SOC foi atualizada para incluir proteções de autenticação adicionais, como solicitações de login com limitação de taxa. Ele também suporta login sem senha via Webauthn

A telemetria de endpoint é mais poderosa e fácil de gerenciar.

  • O agente endpoint primário agora é o Elastic Agent e fornece coleta de dados e consultas ao vivo via osquery incorporado. Ele substitui o osquery anterior, Beats e Wazuh
  • Elastic Agent é gerenciado no Elastic Fleet
  • Elastic Agent e Elastic Fleet oferecem suporte a integrações elásticas
  • O Grafana foi removido e todas as métricas de integridade podem ser encontradas no InfluxDB
  • A imagem ISO do Security Onion foi atualizada do CentOS 7 para o Oracle Linux 9

FONTE: HELP NET SECURITY

POSTS RELACIONADOS