Es gibt viele unterschiedliche Werkzeuge, die Securityteams in Unternehmen dabei unterstützen, sicherheitsrelevante Log- und Netzwerkdaten zu überwachen, um akute Bedrohungen und Angriffe gegen die eigene Infrastruktur zu entdecken und zu analysieren. Bereits 2008 wurde das quelloffene Projekt Security Onion [1] ins Leben gerufen mit dem Ziel, offene und freie Software zu bündeln, um Bedrohungen zu analysieren, Securitymonitoring im Sinne eines Intrusion-Detection-Systems zu etablieren und ein zentrales Logmanagement im Unternehmensnetzwerk anzubieten.
Die Idee hinter Security Onion war die Bereitstellung eines Betriebssystems auf Linux-Basis, das alle relevanten Tools mitbringt und Benutzern eine passende Umgebung für die tägliche Arbeit bietet. Die Grundlage von Security Onion bildete zunächst Ubuntu. Mit Version 2 wurde die Installation der einzelnen Werkzeuge auf Container umgestellt, sodass Security Onion heute auf eigentlich allen Distributionen läuft, die Docker bereitstellen. Offiziell als Distributionen unterstützt es jedoch nur Ubuntu und CentOS. Für diesen Artikel verwenden wir die zum Download angebotene ISO-Datei, Sie können aber grundsätzlich auch eine der anderen Varianten ausprobieren, etwa eines der vorbereiteten Images, die für AWS oder Azure bereitstehen.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.