Security Onion: دليل كامل لتوزيع الأمان هذا الذي يكمل توزيعات أخرى من نوع اختبار الاختراق.

  • منصة SOC مفتوحة توحد IDS/IPS وPCAP وإدارة السجلات مع Suricata وSnort وZeek وWazuh وElastic.
  • تتضمن الميزات الجديدة الرئيسية في الإصدار 2.4 واجهة التنبيهات المدعومة بالذكاء الاصطناعي، وZeek 7، وATT&CK Navigator.
  • ابدأ بالتنزيل على GitHub، والمحاكاة الافتراضية في VirtualBox/VMware، والمتطلبات الواضحة.
  • منهجية عملية للتحقيق في PCAP والتجميع في Hunt واكتشاف IOCs.
Pablinux

11 دقيقة

البصل الأمن

البصل الأمن لقد أصبحت واحدة من تلك المنصات التي يجب على أي شخص يبني أو يدير مركز عمليات أمنية أن يكون على دراية بها. إنه مجاني ومفتوح المصدر ويجمع بين مراقبة الشبكة ومطاردة التهديدات وإدارة السجلات في مكان واحد.بالإضافة إلى مجموعة من الأدوات التي أثبتت كفاءتها في الإنتاج والتي تعمل على تسريع عمل الفريق الأزرق.

قبل الدخول في التفاصيل الدقيقة، من الجيد أن نضع توقعات واقعية: إنه ليس حلاً سحريًا أو زر "إصلاح كل شيء".تكمن قوتها في كيفية دمجها لأجزاء متعددة، وفي حكم الفريق الذي يستخدمها. يتطلب الأمر تعلمها، وتكييفها مع كل بيئة، وتعظيم إمكاناتها؛ فإذا فعلنا ذلك، ستعود المنصة بقيمة هائلة.

ما هو Security Onion وما هي الحلول التي يقدمها؟

Security Onion عبارة عن توزيع Linux متخصص للكشف والاستجابة يجمع بين IDS/IPS وتحليل حركة المرور وإدارة الأحداث والمزيد؛ مثل غيره توزيعات الأمان. تُستخدم للبحث عن التهديدات ومراقبة أمان المؤسسة وإدارة السجلاتمع واجهات خاصة للتنبيهات، ولوحات المعلومات، والتتبع، وPCAP، والكشف، وإدارة الحالات. كما يتضمن أدوات مثل Osquery، وCyberChef، وElasticsearch، وLogstash، وKibana، وSuricata، وZeek.

خلف المشروع هي شركة Security Onion Solutions, LLC. إنهم يقومون بإنشاء المنصة وصيانتها وتمويل تطويرها باستخدام المنتجات والخدمات التجارية.عندما تقوم شركة بشراء إصدارات الدعم أو الإصدارات الاحترافية، فإن ذلك يساعد المشروع على الاستمرار في التطور بالسرعة المطلوبة لمشهد التهديدات المتغير.

المكونات والأدوات المميزة لبرنامج Security Onion

ومن بين نقاط قوتها الكبرى اختيارها للمحركات والأدوات المساعدة المتكاملة بالفعل والجاهزة للترابط. يجمع البرنامج بين التقاط الحزم ونظام اكتشاف المتسللين المستند إلى القواعد وتحليل حركة المرور العميقة.، إلى جانب نظام HIDS ومجموعة بحث/عرض قوية.

التقاط حركة المرور باستخدام netsniff-ng

من بين القطع التي تعمل على مستوى منخفض هي netsniff-ng. يقوم هذا المكون بالتقاط حركة المرور وإدارة تخزين PCAP. حذف البيانات القديمة بكفاءة عند الحاجة لتجنب زيادة تحميل القرص. يُعدّ التقاط البيانات أمرًا أساسيًا لمراجعة علامات الاختراق، أو حملات التصيد الاحتيالي، أو عمليات الاختراق التي تتطلب مراجعة الحزمة لفهم ماهيتها، وكيفية حدوثها، وتوقيت حدوثها.

نظام IDS/IPS القائم على القواعد: Suricata وSnort

يدمج Security Onion اثنين من المحاربين القدامى في اكتشاف التوقيعات، المتواجدين في قوائم أفضل نظام كشف المتسللين على لينكس: تعمل Suricata وSnort بقواعد تعمل على تشغيل التنبيهات استنادًا إلى الأنماط المعروفة.إنها تعتمد على "بصمات الأصابع" المخزنة في قواعدها الأساسية وهي خط الدفاع الأول للكشف عن عائلات البرامج الضارة، وC2s المعروفة، والاستغلالات، والسلوكيات الموضحة أعلاه.

تحليل الشبكة مع Zeek

واستكمالاً لما سبق، يتبنى Zeek (المعروف سابقًا باسم Bro) نهجًا آخر. يقوم بإجراء فحص سلبي وإنشاء سجلات اتصال مفصلة (conn، dns، http، ssl/tls، وغيرها). بالإضافة إلى عناوين IP والمنافذ والبروتوكولات، يوفر التطبيق سمات غنية، مثل استعلامات DNS وتفاصيل TLS ومعلومات الطبقة 7 لبروتوكولات متعددة: HTTP، FTP، IRC، SMTP، SSH، SSL، وSyslog، وغيرها.

مثال عملي على مرونته: يمكن استيراد المصادر المساعدة مثل CSV مع معلومات الشركة وقارنها بأحداث التنزيل، وعمليات تسجيل الدخول، أو أي أنشطة أخرى. يمكن أن تُغذّي هذه الارتباطات برامج مكافحة الفيروسات، أو برامج مكافحة البرامج الضارة، أو أنظمة إدارة معلومات الأحداث (SIEM) لتنظيم استجابة أكثر مرونة.

HIDS على نقاط النهاية مع Wazuh

يتم إكمال الرؤية باستخدام نظام اكتشاف المتسللين المستند إلى المضيف. يقوم Wazuh بمراقبة كل نقطة نهاية باستخدام وكيل لنظامي التشغيل Windows وLinux وmacOS.تحليل سجلات النظام، والتحقق من سلامة الملفات، ومراقبة السياسات، واكتشاف برامج التجسس الجذرية. مع التنبيهات الفورية وإجراءات الاستجابة، يُضيف هذا النظام طبقة استباقية إلى استراتيجيتك الدفاعية. وهو مُتكامل تمامًا مع حزمة Elastic Stack للبحث والتصور.

أدوات البحث والمحلل

يوفر Security Onion برنامجي Elasticsearch وKibana للاستعلامات ولوحات المعلومات، بالإضافة إلى الأدوات المصممة للعمل اليومي للمحلل. يعمل Sguil كجسر بين IDS/IPS وعمليات التقاط الحزممما يُسرّع الفرز والتحقيق التعاوني. كما تتوفر Squert وCapMe ولوحات أخرى خاصة بالبحث، وPCAP، وإدارة الحالات.

أدوات مساعدة مدمجة أخرى

لإجراء تحليل سريع وفك تشفير المهام، تتضمن المنصة CyberChef. إنه السكين السويسري لتحويل وفحص القطع الأثرية. دون مغادرة بيئة مركز العمليات الأمنية (SOC). مع osquery، يتيح لك الاستعلام عن الحالات والسمات في مجموعة نقاط النهاية بشكل جماعي.

الميركات/سنورت مقابل زيك: مناهج تكميلية

من المهم التمييز بين نموذجي الكشف الأكثر شيوعًا على المنصة. Suricata وSnort يطلقان تنبيهات تعتمد على القواعد ويمكنه التفتيش أو الحجب بشكل سلبي (حسب الاستخدام)، بينما يُعطي Zeek الأولوية لتوليد بيانات قياس عن بُعد غنية لإعادة بناء سرديات الهجوم. يساعد هذا المزيج على كشف المعلومات المعروفة والتحقيق في المعلومات المجهولة.

الرؤية والتحليل في Security Onion: Sguil و Squert و Kibana و CapMe

لا يقوم مركز العمليات الأمنية الجيد بإطلاق التنبيهات فحسب، بل يحتاج أيضًا إلى السياق والتعاون وسير العمل. تعمل واجهة Sguil على مركزية الأحداث وتسمح بالتحول إلى PCAP لمعرفة ما حدث بالضبط على الكابل. يوفر Squert رؤىً مرنة، ويقدم Kibana عمليات بحث ولوحات معلومات قابلة للتخصيص، ويُسهّل CapMe استخراج الحزم ذات الصلة بحالة معينة.

تعمل هذه العروض المتكاملة على تقليل الاحتكاك بين الفرق: يمكن للمحللين تعيين كل حادث وتصعيده وتوثيقه سريعًا، وتجنب الانفصال النموذجي بين عمليات الاكتشاف والبحث والتحليل الجنائي للشبكة.

البدء باستخدام Security Onion: التنزيل والتوثيق والمحاكاة الافتراضية

نقطة البداية المعتادة هي المستودع الرسمي. يمكنك تنزيل ISO من GitHub، وقبل كل شيء، التحقق من الوثائق، والذي يتضمن قسمًا شاملًا للغاية بعنوان "البدء" مع العديد من مسارات النشر.

إذا لم يكن لديك مضيف Linux في متناول يدك، فلا بأس بذلك: يغطي الدليل سيناريوهات المحاكاة الافتراضية باستخدام VirtualBox وVMware، بما في ذلك إنشاء آلات افتراضية محددة لتثبيت المجموعة وبدء عمليات تدقيق الشبكة.

الحد الأدنى من المتطلبات الموصى بها

وللبدء بالضمانات، تشير الوثائق نفسها إلى قاعدة متواضعة: وحدة معالجة مركزية 64 بت مع نواتين أو أكثر، وذاكرة وصول عشوائي (RAM) بسعة 8 جيجابايت، ومساحة قرص 80 جيجابايت، وبطاقة واجهة الشبكة (NIC) في الوضع المختلطفي بيئات حركة المرور العالية، من المعقول الترقية إلى 16 جيجابايت من ذاكرة الوصول العشوائي (RAM) أو أكثر ومئات الجيجابايت (يفضل تخزين سريع) لاستيعاب PCAP وسلسلة السجلات.

اختصارات مفيدة: ورقة الغش

مصدر عملي آخر هو قالب الملاحظات الرسمي. تلخص ورقة الغش أوامر الصيانة ومسارات الملفات الرئيسية، مثالي لتحديد سجلات كل خدمة عندما يكون الوقت قصيرًا.

الأخبار والتطور المستمر

إن المشروع يتحرك بسرعة لأن خصمه يتحرك بسرعة أيضًا. أحد التحديثات الرئيسية الأخيرة هو 2.4.120 (فبراير 2025)، والتي جاءت محملة بالتحسينات.

  • واجهة تنبيهات جديدة مع ملخصات مدعومة بالذكاء الاصطناعي لفهم الأحداث في لمحة واحدة وتسريع الاستجابة.
  • Zeek 7 متكامل، مع دعم موسع لبروتوكولات مثل QUIC، وHTTP/2، وOpenVPN أو IPsec، مما يؤدي إلى تحسين الكشف والتحليل.
  • برنامج ATT&CK Navigator مُدمج لربط الأحداث بإطار عمل MITRE ATT&CK وإعطاء الأولوية للتهديدات بحكمة.
  • واجهة برمجة التطبيقات الخارجية في Security Onion Pro، مفيد للتكاملات المخصصة أو الواجهات المخصصة.
  • البحث عن عنوان IP المحلي مع وجود أوصاف مخصصة مرئية في SOC، وهو أمر عملي للغاية إذا كانت PTRs مفقودة أو يجب ملاحظة عناوين IP الهامة.

بالإضافة إلى 2.4.120، استمر إيقاع الإصدار مع 2.4.130 و2.4.140 و2.4.141 و2.4.150 و2.4.160 و2.4.170 طوال عام 2025، مما يؤكد أن دورة التحسينات مستمرة وأن الأمر يستحق البقاء على اطلاع دائم.

حالات الاستخدام الشائعة

يتناسب Security Onion مع سيناريوهات متعددة. من اكتشاف محاولات التصيد الاحتيالي إلى البحث عن C2، والتحقيق في عمليات التهريب أو مركزية السجلات لتوحيد الرؤية. تصميمه المفتوح والمعياري يجعله مناسبًا للشركات الصغيرة والمتوسطة ومراكز البيانات الكبيرة.

متى يجب إجراء عمليات تدقيق الشبكة باستخدام Security Onion؟

تشكل عمليات التدقيق الدورية جزءًا أساسيًا من برنامج الأمان. ليست هناك حاجة إلى انتظار حدوث خرق للتحقق من الشبكة.ولكن هناك مواقف يكون من المستحسن فيها إعطاء الأولوية لها.

  • التغييرات في البنية التحتية:أنظمة جديدة، أو تطبيقات، أو حلول تكنولوجيا المعلومات؛ تأكد من أن كل شيء يعمل معًا بشكل جيد وبدون فجوات جديدة.
  • حوادث أمنية:بعد هجوم ناجح، يعد التدقيق أمرًا حيويًا لفهم المتجه وتعزيزه عند الضرورة.
  • قضايا الأداء:قد يؤدي البطء أو الانقطاع إلى إخفاء الإخفاقات أو الانتهاكات التي يكشف عنها التدقيق.
  • توسيع الأعمال التجارية: المزيد من المواقع أو الأقسام أو الموظفين يغيرون الأنماط؛ إعادة المعايرة ضرورية.
  • التقييمات المجدولة: : بدون سبب واضح، فإن جدولة الفحوصات الدورية تساعدك على تجنب المخاوف.

وعلى أية حال، إذا لم تكن لديك الخبرة، فمن الحكمة الاعتماد على الشركات المتخصصة. التي تتكيف مع الاختبارات مع البيئة وتتجنب التكاليف الخفية الناتجة عن التنفيذ السيئ.

النشر والتكوين

لا يقتصر النشر على التثبيت والبدء فقط. يجب تحديد واجهات الشبكة وأجهزة الاستشعار وإدارة التنبيهات والقواعد. لتكييفه مع واقع المنظمة. يوفر المجتمع والوثائق الرسمية نماذج وتوصيات معمارية لمساعدتك على بداية جيدة.

عرض عملي: التحقيق في التسرب

لفهم سير العمل، نقترح تمرينًا عمليًا: تحليل حالة تسريب البيانات مع أدوات Security Onion.

استيراد PCAP وإعداد البيئة

قبل تحميل PCAP، قد يكون من المفيد مسح التنبيهات والتصورات في Elasticsearch باستخدام بعض أوامر الصيانة. بعد ذلك، استورد ملف .pcap باستخدام الأداة المساعدة المناسبة.

إذا لم يبدأ شيء ما في المرة الأولى، فحاول إعادة تشغيل الجهاز. تقوم Security Onion بتنظيم خدماتها في حاويات Docker وعند بدء التشغيل، قد يستغرق تجهيز كل شيء بعض الوقت. يمكنك الاطلاع على حالة الحاويات فورًا باستخدام أمر القائمة.

لا تقلق إذا تظهر الحاويات الثلاثة الأخيرة على أنها معطلة:يشير هذا ببساطة إلى عدم وجود التقاط في الوقت الفعلي؛ حيث سيتم تحليل PCAP مع Suricata وZeek.

حركة المرور الضارة: استكشاف التدفقات باستخدام Security Onion

تدفق TCP الأول
  1. فرز التنبيهات حسب الترتيب الزمني من ذلك الخيط الزمني، من الأقل حداثة إلى الأحدث، لرؤية التسلسل الكامل.
  2. يحدد عنوان IP المصدر وعنوان IP الوجهة والمنافذ شاركت في هذا التبادل الأول نحو الإنترنت.
  3. لاحظ تنبيهًا غريبًا: يتم طلب ملف PDF مباشرة من عنوان IP بدلا من المجال، ما هو التوقيع الذي يسبب ذلك؟
  4. قبل هذا الطلب، يظهر وكيل مستخدم يحدد نفسه على أنه curl; خذ ملاحظة للارتباطات اللاحقة.
  5. أحدث تنبيه للتدفق، ما الذي يشير إليه أنه حدث؟ يصف الحالة التي تؤدي إلى الحدث.
  6. افتح أيًا من تلك التنبيهات تحميل البث الكامل لمراجعة كافة الرسائل بالتفصيل.
  7. في إطار عملية إعادة البناء هذه، ما الذي وكيل مستخدم بالضبط كما ترى؟
  8. هل تكتشف شيء مريب في نص استجابة HTTP?
  9. أرسل هذه الحركة المرورية إلى بيئة المطبخ أحب CyberChef للعب معه.
  10. هناك، اذهب إزالة الطبقات والتحويلات حتى يتم الكشف عن محتوى مثير للاهتمام.
  11. عند الوصول إلى النواة، هل تظهر؟ المراجع أو المؤشرات الشاذة هل يستحق اللجنة الأولمبية الدولية؟
تدفق TCP الثاني
  1. مع المنافذ وأزواج IP كدليل، قم بتحديد التنبيهات التي تنتمي إلى هذا التدفق الثاني.
  2. تكرار إعادة بناء حركة المرور تمامًا كما كان من قبل لرؤية السياق والحمولات.
  3. هل تجد شيء خارج عن المألوف في المعاملات؟
تدفق TCP الثالث
  1. حدد التنبيهين اللذين يحددان التدفق و ملاحظات المعلمات الرئيسية (عناوين IP، المنافذ، البروتوكول).
  2. فتح خيط الحزمة لإجراء فحص مفصل.
  3. ما وكيل مستخدم يتم استخدام ما هو الإجراء الذي يحاول الطلب تنفيذه؟
  4. بعد هذا التبادل يظهر آخر تنبيه حركة مرور HTTPS؛ وفقًا لما رأيناه، ما الذي يتوافق معه؟
تيار TCP الرابع
  1. فجأة يطلقون النار العديد من التنبيهات المختلفةحسب نمطك، ما الذي يبدو أنه حدث؟
  2. كيف تذهب أعمق من التنبيهات لرؤية ما حدث بالضبط؟
  3. في عرض التدفق، ما القرائن الرئيسية هل يتم تقديرها؟
  1. افتح علامة التبويب مطاردة.
  2. رمي واحد استعلام محدد مسبقًا يتم الفرز حسب event.module وevent.dataset.
  3. في مقاييس المجموعة، تحقق مما يلي أنواع السجلات التي جمعها Zeek.
  4. في القائمة المنسدلة للاستعلامات، اختر إظهار كل التوصيلات حسب عنوان IP المصدر، وعنوان IP الوجهة، وبروتوكول الشبكة، ومنفذ الوجهة.
  5. الآن قم بالتجميع حسب اتصالات HTTP ومنفذ الوجهة.
  6. هل يظهر أي شيء منفذ غير عادي لـ HTTP?
  7. إذا كانت الإجابة بنعم، قم بتمييزها كـ تضمن للتركيز عليه.
  8. في الأحداث هل ترى شيء يستحق التحليلافتحه بالتفصيل كما تعلم بالفعل.
  9. ما العثور على ينشأ هناك؟

طرق الكشف الأخرى

  1. تجميع حسب اتصالات HTTP والطريقة ووكيل المستخدم.
  2. ما هو النمط المثير للاهتمام سيسمح بتحديد حركة المرور الضارة بواسطة وكيل المستخدم؟
  3. تجميع حسب مضيف افتراضي HTTP.
  4. أي مضيف افتراضي غير عادي أو مشبوه وهذا يشير إلى نشاط ضار؟
  5. تجميع حسب إشعار مجموعة البيانات (زيك).
  6. ما إشارة مشبوهة تبرز؟
  7. في الأحداث، التجميع حسب الحقل إشعار.رسالة فرعية.
  8. من أي كيان ينتمي معظمهم؟ شهادات TLSماذا تستنتج؟

دعم Security Onion والمجتمع والترخيص

مجتمع Security Onion نشط للغاية: المنتديات والمجموعات والوثائق الحية يساعدون في حل المشكلات ومشاركة أفضل الممارسات. وللمؤسسات التي تحتاج إلى المزيد، يتوفر دعم تجاري وإصدار احترافي مع إضافات تكامل.

فيما يتعلق بالترخيص، المشروع هو برنامج مجاني ومفتوحيمكن العثور على تفاصيل الترخيص والفروق الدقيقة على الموقع الإلكتروني وفي المستودعات الرسمية.

الخصوصية والموارد الخارجية

عند إجراء بحث، من الشائع استشارة المواضيع الموجودة على منصات الطرف الثالث. على سبيل المثال، يستخدم موقع Reddit وشركاؤه ملفات تعريف الارتباط وتقنيات مماثلة. لتشغيل الموقع، وتحسين الخدمات، وتخصيص المحتوى/الإعلانات، وقياس الأداء. يمكنك قبول جميع ملفات تعريف الارتباط غير الضرورية أو رفضها، مع الحفاظ على الوظائف الأساسية. يُرجى مراجعة ملفات تعريف الارتباط وإشعارات الخصوصية الخاصة بهم عند تصفح مواردهم.

إذا كنت تريد معرفة المزيد أو تقييم خيارات التداول، قم بزيارة الموقع الرسمي: securityonionsolutions.com. لأي استفسار أو اقتراح، لا تترددوا في الاتصال بنا. ونحن نساعدك في توجيه التنفيذ في سياقك.

يجمع Security Onion بين التقاط الشبكة واكتشاف المضيف والتحليلات المطلوبة من مركز العمليات الأمنية الحديث في مجموعة واحدة؛ مع Suricata وSnort وZeek وWazuh وElastic وSguil وSquert وCapMe وCyberChef تزداد الرؤية اتساعًا وعمقًا. بفضل التوثيق عالي الجودة، وخيارات المحاكاة الافتراضية، ودليل الغش المفيد، وجدول الإصدارات القوي مع تحسينات مثل واجهة التنبيهات الجديدة، وZeek 7، وATT&CK Navigator، يوفر هذا النظام أساسًا متينًا لرصد التهديدات والاستجابة للحوادث للشركات من جميع الأحجام.

البصل الأمن
المادة ذات الصلة:
Security Onion: التوزيع المثالي لشبكات التدقيق