Elastic'li Yeni Security Onion

Security Onion geçirdiği son evrimle birlikte bazı bileşenlerinde Docker altyapısına geçerken ELSA log yönetim sistemini de Elastic'le değiştirdi.

Yeni kurulumlarda Kibana + ElasticSearch + Logstash + Redis stack'ini de beraberinde getiriyor artık.

Yine beraberinde alttaki bileşenler de artık kullanılabilir halde;

Curator: Elastic index bakımları için gerekli olan bileşen

DomainStats: Trafikte görülen domain adresleri hakkında istihbarat (register tarihi, popülerlik vb. gibi) toplayan bir bileşen

ElastAlert: Elastic altyapısında alarm oluşturma amaçlı bileşen

FreqServer: Trafikte gözüken URL vb. alanlar için entropi (rastgelelik) hesaplayan bir bileşen

Bununla beraber klasik standalone kurulumun yanısıra dağıtık kurulumlar için bazı yeni node tipleri de gelmiş durumda.

Master node: Logları (network trafiği dahil) forward node'lardan veya diğer log kaynaklarından toplayarak Redis'e alan node türü. Bu loglar daha sonra storage node'larca Redis'ten çekilerek (consume edilerek) -varsa- storage node'lara (yada kurulumda storage node tercih edilmediyse master node'ın kendisine) yazılır. Kendi üzerinde IDS/Bro vb. network izleme bileşenlerini içermez. Aramalar, analiz vb. işlemleri bu node üzerinden -yada yine kurulacak olan master node'la ilişkili ayrı bir Analist node'uyla- yapılır.

Storage node: Uzun dönemli log saklama amaçlıdur. Elastic bileşenlerine ev sahipliği yapar. Master node üzerindeki Redis kuyruğundan logları çekerek (load-balancing amaçlı) kendi üzerine yazar.

Forward node: Network trafiğini dinleyerek PCAP kayıt, IDS alarmlarının oluşturulması yada Bro ile trafik metadatası (gelişmiş-flow) oluşturarak syslog ile Master node'a yollayan bileşendir. Yine ham PCAP'ler de bu bileşenlerde tutulur.

Heavy node: Daha hafif dağıtık kurulumlarda kullanılır. Tercihe göre storage node ve forward node'ın beraber çalıştığı node türüdür.

Elsa'dan Elastic altyapısına geçmek için https://github.com/Security-Onion-Solutions/security-onion/wiki/ELSA-to-Elastic linkinden faydalanabilirsiniz


Kaynak: https://github.com/Security-Onion-Solutions/security-onion/wiki

Furkan ÇALIŞKAN

Read more posts by this author.