Security Onion 소개

Security Onion 방어 모니터링 플랫폼 소개입니다. Standalone/Distributed 배포, 센서 위치, 로그 소스, alert triage, 운영 튜닝 기준을 정리했습니다.

Security Onion은 보안 모니터링, 침입 탐지, 로그 분석, 케이스 관리를 위한 방어자 중심의 오픈 플랫폼입니다. 네트워크 트래픽, 엔드포인트 이벤트, 탐지 알림을 모아 조사할 수 있게 해 줍니다.

공격 실습 도구 소개가 아니라 방어 모니터링 환경을 어떻게 구성하고 어떤 데이터를 봐야 하는지에 초점을 둡니다. Security Onion은 설치만으로 보안이 끝나는 제품이 아니라, 센서 위치와 로그 소스 품질이 결과를 크게 좌우합니다.

무엇을 해 주는가

  • 네트워크 트래픽 기반 탐지와 메타데이터 수집
  • 호스트/엔드포인트 로그 수집
  • IDS alert, Zeek 로그, endpoint event를 이용한 조사
  • SOC UI를 통한 alert triage와 case 관리
  • 룰 튜닝과 false positive 관리

배포 형태

  • Standalone: 한 대에 manager와 sensor 역할을 함께 두는 학습/소규모 구성입니다.
  • Distributed: manager, search node, sensor node를 분리하는 운영형 구성입니다.
  • Import/Eval: pcap이나 샘플 데이터를 분석해 보는 평가용 흐름입니다.

처음에는 Standalone으로 기능을 익히되, 운영망에서는 수집량과 보관 기간, 디스크 I/O, NIC 대역폭, SPAN/TAP 위치를 별도로 설계해야 합니다.

설치 전 확인

  1. 공식 Hardware Requirements와 Release Notes를 먼저 확인합니다.
  2. ISO를 다운로드하고 검증합니다.
  3. 관리 NIC와 모니터링 NIC를 분리할지 결정합니다.
  4. SPAN/TAP에서 들어오는 트래픽이 과도하지 않은지 확인합니다.
  5. 로그 보관 기간과 디스크 용량을 계산합니다.

운영에서 중요한 데이터 소스

  • 인터넷 경계 구간 또는 핵심 서버망의 north-south traffic
  • 서버/클라이언트 endpoint event
  • 방화벽, VPN, DNS, proxy 로그
  • 인증 시스템 로그
  • 중요 서비스의 애플리케이션 로그

탐지 품질은 “Security Onion을 설치했는가”보다 “보아야 할 트래픽과 로그가 실제로 들어오는가”에 좌우됩니다.

초기 점검 포인트

  • SOC UI 접속과 계정 권한
  • sensor interface packet 수신 여부
  • alert 발생 여부와 severity 분포
  • DNS/HTTP/TLS 같은 protocol metadata 수집 여부
  • 시간 동기화 상태
  • 디스크 사용량과 ingest rate

운영 튜닝 기준

  • false positive가 많은 룰은 비활성화보다 suppress/tuning 근거를 남깁니다.
  • 중요 알림은 “누가, 언제, 어떤 증거로, 어떤 조치를 했는지” case에 남깁니다.
  • pcap과 로그 내용에는 개인정보와 내부 IP가 포함될 수 있으므로 공유 전에 마스킹합니다.
  • 탐지 룰 업데이트 후 알림량이 급변하면 변경 이력을 확인합니다.
  • 실제 대응 절차는 알림 triage, containment, eradication, recovery, lesson learned로 분리합니다.

랩 구성 팁

  • 공인망에 직접 노출하지 말고 NAT/host-only 랩에서 시작합니다.
  • 테스트 트래픽은 허가된 내부 랩에서만 생성합니다.
  • 센서 NIC에는 IP를 주지 않는 passive capture 구성을 검토합니다.
  • 탐지 결과를 스크린샷이 아니라 query, timestamp, event id 기준으로 남깁니다.

공식 문서

BGM EVER