Security Onion 2.4 - Sự nâng cấp đột phá cho an ninh mạng doanh nghiệp

Security Onion đã xây dựng một cơ sở vững chắc cho việc phát hiện mối đe dọa, giám sát an ninh doanh nghiệp và quản lý nhật ký. Với hơn 2 triệu lượt tải xuống và việc sử dụng trên khắp thế giới, nền tảng này đã chứng minh vai trò thiết yếu trong việc giữ an toàn cho không gian kỹ thuật số.

Security Onion 2.4 đến với người dùng với hàng loạt cải tiến đáng chú ý. Sự phát hành bản vá nóng 2.4.10 cũng đã được đưa lên GitHub, mang lại sự ổn định và tính năng mới cho người dùng.

Đối với khả năng quan sát mạng, Security Onion mang đến khả năng phát hiện dựa trên chữ ký thông qua Suricata, siêu dữ liệu giao thức phong phú và trích xuất tệp bằng Zeek hoặc Suricata, thu thập gói dữ liệu đầy đủ thông qua Stenographer và phân tích tệp thông qua Strelka.

Đối với khả năng quan sát máy chủ, Security Onion cung cấp Elastic Agent, là một công cụ quan trọng cho việc thu thập dữ liệu, truy vấn trực tiếp thông qua osquery và quản lý tập trung thông qua Elastic Fleet. Để tăng cường thêm khả năng quan sát doanh nghiệp, Security Onion cho phép tích hợp các honeypot phát hiện xâm nhập dựa trên OpenCanary vào triển khai của bạn. Tất cả các nhật ký này được tự động luân phiên vào Elasticsearch và đội ngũ phát triển đã xây dựng các giao diện người dùng riêng biệt cho cảnh báo, bảng điều khiển, tìm kiếm mối đe dọa, quản lý trường hợp và quản lý mạng lưới.

Những cải tiến mới trong Security Onion 2.4

Trong suốt năm qua trong quá trình phát triển Security Onion 2.4, nhóm phát triển đã thêm vào nhiều tính năng mới để mang lại trải nghiệm tốt hơn và làm cho người dùng trở nên hiệu quả hơn:

Giao diện Security Onion Console (SOC) đã được cải tiến với nhiều tính năng mới nhằm làm cho người dùng trở nên hiệu quả hơn trong vai trò của một người bảo vệ:

• SOC hiện cho phép bạn thêm giá trị trực tiếp từ một bản ghi trong Hunt, Dashboards hoặc Alerts như một đối tượng quan sát vào một trường hợp hiện có hoặc mới.
• SOC bao gồm khả năng tra cứu DNS mới.
• SOC mang đến khả năng tạo các mối quan hệ cho các toán tử tương quan trên số liệu.
• Các trường hợp SOC hỗ trợ việc trích xuất đối tượng quan sát động.
• SOC có thể nhập các tệp PCAP và EVTX.

SOC mang trong mình nhiều tính năng quản trị mới, giúp bạn tiết kiệm thời gian quản lý triển khai và dành nhiều thời gian hơn để truy tìm các đối thủ.

• Bạn có thể quản lý người dùng thông qua phần Quản trị của SOC.
• Phần Quản trị của SOC cũng bao gồm Giao diện Thành viên Lưới mới để quản lý việc thêm và loại bỏ các nút.
• Bạn có thể cấu hình hầu hết các khía cạnh của triển khai thông qua giao diện Cấu hình.
• Giao diện Lưới của SOC đã được cải tiến để hiển thị thêm thông tin trạng thái về các nút của bạn.
• Trình cài đặt đã được đơn giản hóa và việc cấu hình các thành viên mới của lưới sẽ diễn ra trong giao diện Thành viên Lưới.
• Xác thực SOC đã được nâng cấp để bao gồm các biện pháp bảo vệ xác thực bổ sung, chẳng hạn như giới hạn tốc độ yêu cầu đăng nhập. Nó cũng hỗ trợ đăng nhập không cần mật khẩu thông qua Webauthn.

Telemetry cho điểm cuối trở nên mạnh mẽ hơn và dễ quản lý hơn.

• Công cụ chính cho điểm cuối hiện nay là Elastic Agent và nó cung cấp khả năng thu thập dữ liệu và truy vấn trực tiếp thông qua osquery được nhúng sẵn. Elastic Agent thay thế cho osquery, Beats và Wazuh trước đây.
• Elastic Agent được quản lý trong Elastic Fleet.
• Elastic Agent và Elastic Fleet hỗ trợ các tích hợp Elastic.
• Grafana đã được loại bỏ và tất cả các chỉ số sức khỏe có thể được tìm thấy trong InfluxDB.

Hình ảnh ISO Security Onion đã được nâng cấp từ CentOS 7 lên Oracle Linux 9.

Như vậy, sự xuất hiện của Security Onion 2.4 không chỉ đánh dấu sự tiến bộ vượt bậc trong lĩnh vực an ninh mạng, mà còn thể hiện sự cam kết của nhóm phát triển đối với việc mang đến cho người dùng một môi trường an toàn và hiệu quả hơn để chống lại những mối đe dọa kỹ thuật số ngày càng phức tạp.