security onion threshhold,최소화
pfsense를 켜주고
onion 을키고
centos (vlan20_office)
도 켜준다
==============================
onion 의 일단 squert를 켜준다.
일단 테스트로 핑을 테스트를 해보고
용량이많아 저 Test icmp 로그를 삭제해야한다
sudo vi /etc/nsm/rules/local.rules
dd 눌러서 지우고
:wq!
sudo rule-update
스레드홀드(실무에가서 스노트를가지고 보안구축을했을떄 규칙이많기떄문에 알림을 가지고 최소화하는것이다. 탐지도하면서 룰도 최소화시는것) 위치
cd /etc/nsm/tak-virtual-machine-eth1/
ls -al
tak이건 자기 처음에 설정한 이름에 따라만들어진다
sudo vi threshhold.conf
:set nu
esc
page down 키를눌러서 맨밑으로 간 뒤에
suppress gen_id 1, sig_id 3000001, track by_dst, ip 172.217.31.164
suppress gen_id 1, sig_id 3000001, track by_src, ip 10.20.1.0/24
event_event_filter gen_id 1, sig_id 3000001, type limit, track by_src, count 1, second 60
:wq!
넣기
설명=========================
(destination)
suppress gen_id 1, sig_id 3000001, track by_dst, ip 172.217.31.164
suppress gen_id 1, sig_id 3000001, track by_src, ip 10.20.1.0/24
event_event_filter gen_id 1, sig_id 3000001, type limit, track by_src, count 1, second 60
알림1번 1분에 한번씩
172.217.31.164 (구글 아이피 nslookup www.google.co.kr 로 확인한것)
10.20.1.0(vlan20_office쪽)
================================
-----------------------------------------------
sudo vi /etc/nsm/rules/local.rules
esc
i (i는 쓰는거)
alert icmp any any -> any any (msg:"test ICMP"; sid:3000001;)
:wq!
sudo rule-update
-----------------------------불편하니까
서울시간으로 바꾸자
시간수정
time and date
바탕화면 오른쪽클릭
asia/seoul로 바꾸고 나서
lock 걸고 close
sudo reboot 진행
'통합 인프라 보안' 카테고리의 다른 글
| security onion squert에서 커스텀을 만들어서 로그확인 (0) | 2020.12.16 |
|---|---|
| security onion 오류에 의해 리셋하고 다시설치 (0) | 2020.12.16 |
| security onion 환경설정 파일들 보기, snort 새로운 룰 만들기 (0) | 2020.12.15 |
| security onion gedit설치,환경설정 등 설명 (0) | 2020.12.15 |
| security onion(squert) 로그확인 (0) | 2020.12.15 |
