Logo Security Onion
Die Distribution Security Onion hilft vor allem beim Threat Hunting, Netzwerkmonitoring und Log Management. Die neue Version gibt Sicherheitsexperten weitere Hilfen in Form von Playbooks an die Hand, der kommerziellen Pro-Fassung steht zudem ein MCP-Server bereit.
Security Onion setzt im Hintergrund verschiedene Sicherheitswerkzeuge wie Suricata ein. Sollte eines von ihnen einen Sicherheitsvorfall melden, bietet Security Onion 2.4.160 dazu jetzt eine „Guided Analysis“ an.
Diese geführte Analyse stellt eine Reihe von Fragen, mit denen Anwender den Vorfall einordnen beziehungsweise eine Lösung finden können. So fragt Security Onion beispielsweise, welcher Prozess an der betroffenen Netzwerkverbindung beteiligt war. Zu jeder Frage liefert Security Onion ergänzende Daten des meldenden Werkzeugs, etwa wann das fragliche Ereignis auftreten ist oder von welcher IP-Adresse es ausging. Diese konkreten Informationen helfen dabei, die Frage besser einzuordnen und Lösungen finden zu können.
Die Fragen fassen sogenannte Playbooks thematisch zusammen. Für die meisten typischen Vorfälle hält Security Onion passende Playbooks parat und wählt sie automatisch zum jeweiligen Problem aus. Die Playbooks orientieren sich am gleichnamigen Standard von Chris Sanders. Security Onion 2.4.160 bringt einige per Hand erstellte Playbooks mit, obendrauf gibt es noch per KI generierte Exemplare für ETOPEN NIDS-Regeln.
Wer die kommerzielle Pro-Fassung einsetzt und eine eigene KI betreibt, kann diese jetzt mit dem Security Onion Model Context Protocol (MCP) Server verbinden. Letztgenannter liefert der KI zusätzliche Informationen unter anderem über Alerts, Playbooks und Events. Ebenfalls neu für Pro-Kunden ist die Security Onion App für Splunk.
Abschließend haben die Entwickler Fehler korrigiert und die Kernkomponenten unter der Haube aufgefrischt. So basiert das ISO-Image jetzt auf Oracle Linux 9.5, zum Einsatz kommen zudem Hydra 2.3.0, InfluxDB 2.7.12 und ElastAlert2 2.24.0.
