本文介绍一下security onion的安装流程，将使用该工具集中管理终端EDR和网络NDR sensor产生的日志。

充当SIEM的平台有很多，比如可以直接使用原生的elastic以及splunk等，security onion的优势在于该平台能够方便的集成网络侧（比如suricata，zeek，蜜罐）以及终端侧的告警（sysmon，elastic）的等告警，同时针对安全业务集成了很多安全相关实用的功能，包括威胁狩猎功能，attack矩阵的集成，以及case的管理功能。这样就省去了新手大量的集成和配置工作，当然对用户灵活性要求比较高的同学，可以从elastic以及splunk等原生的数据处理平台一点点集成。

SO下载

建议下载最新版本，我安装时最新的版本为security onion2.4.60，这里。由于技术的迭代，主要之前的2.3版本是基于centos系统，而centos已经停止维护，因此之前的security onion老版本已经停止维护，新版本是基于oracle Linux 9.3版本，如下图：

软件安装

由于security onion本质上是一个linux系统，因此可以安装在虚拟机上，也可以直接安装在主机上。新手比较建议安装在独立的机器上，可以避免很多网络不通的问题。我是安装在虚拟机上的standalone版本，该版本能够满足家庭网络的绝大多数的需求，在VM虚拟机配置这块，需要分配100G以上的内存，CPU为4核，8G以上的内存，这点配置需要注意。在虚拟机上安装，中间遇到任何问题，可以关机，重新开始。
如下是security onion各种类型的的最低配置要求：

我安装的standalone版本的配置如下，最重要的是需要两张网卡，如下：

默认会选择安装第一项，即2.4.60的生产版本。然后进入如下安装界面，yes继续之后，输入用户名和密码，这边的用户名和密码可以按需设置，对于等级要求比较高的，建议使用随机的密码。

接下来会进入一段自动化的安装配置流程，主要是安装linux系统相关以及软件本身以来的环境内容，所以这块需要等待大概10分钟左右，如下：

然后按enter键重新启动之后进入security onion 上层软件相关的配置部分，如下：


关于不同类型的区别，见这里，初学者建议使用standalone版本。



主机名建议设置一个有意义的名称，因为如果有防火墙等管理系统，这样可以通过主机名进行识别。


选择对应的网卡，作为SOC管理端（webUI访问地址）连接的网卡：

这个时候可以配置静态的IP地址，也可以配置动态的IP地址。静态IP地址好处是每次访问的地址是固定的。但是对于使用虚拟机安装的用户，建议使用DHCP动态分配IP地址，因为虚拟机的IP地址是由VMware中的虚拟DHCP服务器分配的，如下如图。对于新手来说，使用DHCP的方式可以避免很多宿主机到虚拟机的访问网络不通的问题，例如安装期间会访问互联网。等到安装成功之后，在更改对应的IP为静态IP地址，每次可以很方便通过SSH登录进行查看。


没有配置代理，使用默认即可，如下：

由于securityonion安装了很多的docker服务，这块docker的IP使用默认即可

空格选中对应的网卡作为监控接口，因为Security onion具备监控流量的功能，选择该网卡作为流量监控之用，然后继续

因为security onion会需要以邮件形式发送一些告警报告的通知，输入邮箱继续：

由于web界面使用的是邮箱登录，因此为邮箱账户设置对应的密码

使用默认IP访问web页面即可，更具后面的经验，其实使用hostname更加的方便。

允许通过web安装更新

那些IP可以访问security onion，我这里设置的是0.0.0.0/0，表示所有的IP均可以访问，在实际生产环境中可能需要进行限制。

检查一下配置如下：

进入一段漫长的安装等待，大约一个小时，期间会访问网络下载文件，因此前面设置成为DHCP很重要，基本不用担心网络联通的问题。最后成功安装的截图如下：

如果安装过程提示有错误，到/root/errors.log查看原因，例如我是yara组件没有下载成功，有可能是网络原因，因此重新执行该命令即可。

SO web 界面

安装成功之后，访问web页面如下：

检查所有的服务是否运行正常，如下：

以上就是security onion安装的过程，后续将介绍security onion和其他sensor日志的集成。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。