Security Onion é uma plataforma gratuita e aberta para caça a ameaças, monitoramento de segurança empresarial e gerenciamento de logs. Ele foi baixado mais de 2 milhões de vezes e está sendo usado por equipes de segurança em todo o mundo. O Security Onion 2.4 vem com muitas atualizações, e a versão do hotfix 2.4.10 está disponível no GitHub .
Para visibilidade de rede, eles oferecem detecção baseada em assinatura via Suricata, metadados de protocolo avançados e extração de arquivo usando Zeek ou Suricata, captura de pacote completo via Stenographer e análise de arquivo via Strelka.
Para visibilidade do host, o Security Onion oferece o Elastic Agent, que fornece coleta de dados, consultas em tempo real via osquery e gerenciamento centralizado usando o Elastic Fleet. Honeypots de detecção de intrusões baseados em OpenCanary podem ser adicionados à sua implantação para obter ainda mais visibilidade empresarial. Todos esses logs fluem para o Elasticsearch e eles criaram suas próprias UIs para alertas, painéis, busca de ameaças, gerenciamento de casos e gerenciamento de grade.
Novos recursos no Security Onion 2.4
Durante o último ano de desenvolvimento do Security Onion 2.4, os desenvolvedores adicionaram novos recursos para oferecer uma experiência melhor e torná-lo mais eficiente:
O Security Onion Console (SOC) tem muitos recursos novos para torná-lo mais eficiente como defensor:
- O SOC agora permite adicionar um valor diretamente de um registro em Hunt, Dashboards ou Alerts como um valor observável para um caso novo ou existente
- SOC inclui um novo recurso de pesquisa de DNS
- SOC inclui pivôs para operadores relacionais em números
- Casos SOC suportam extração observável dinâmica
- SOC pode importar arquivos PCAP e EVTX
O SOC tem muitos novos recursos de administração, para que você gaste menos tempo gerenciando sua implantação e mais tempo caçando adversários.
- Você pode gerenciar usuários através da seção Administração do SOC
- A seção de administração do SOC também inclui uma nova interface de membros da grade para gerenciar a adição e remoção de nós
- Você pode configurar a maioria dos aspectos de sua implantação por meio da interface de configuração
- A interface Grid do SOC foi aprimorada para mostrar mais informações de status sobre seus nós
- O instalador foi simplificado e a configuração de novos membros da grade ocorrerá na interface Grid Members
- A autenticação SOC foi atualizada para incluir proteções de autenticação adicionais, como solicitações de login com limitação de taxa. Ele também suporta login sem senha via Webauthn
A telemetria de endpoint é mais poderosa e fácil de gerenciar.
- O agente endpoint primário agora é o Elastic Agent e fornece coleta de dados e consultas ao vivo via osquery incorporado. Ele substitui o osquery anterior, Beats e Wazuh
- Elastic Agent é gerenciado no Elastic Fleet
- Elastic Agent e Elastic Fleet oferecem suporte a integrações elásticas
- O Grafana foi removido e todas as métricas de integridade podem ser encontradas no InfluxDB
- A imagem ISO do Security Onion foi atualizada do CentOS 7 para o Oracle Linux 9
FONTE: HELP NET SECURITY