EN Contattaci

Security Onion 2.4: distribuzione open source per NSM, SIEM e DFIR

Security Onion, distribuzione Linux creata da Doug Burks nel 2008 per Network Security Monitoring, SIEM e DFIR. Versione 2.4 rilasciata il 9 ottobre 2023 con Elastic Stack 8. Integra Suricata, Zeek, Wazuh, TheHive, CyberChef, Kibana.

Cyber SecurityOpen Source
Cyber SecurityOpen Source Security OnionNSMSIEMDFIRCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Origini

Security Onion viene avviato nel 2008 da Doug Burks come distribuzione Linux dedicata al Network Security Monitoring (NSM). L’idea è assemblare in un unico installer gli strumenti open source di riferimento per sensor di rete, analisi forense e risposta agli incidenti.

Il progetto diventa rapidamente uno standard de facto nei corsi SANS e nelle esercitazioni di threat hunting. Nel 2014 viene fondata Security Onion Solutions, LLC, azienda statunitense che offre formazione, hardware preconfigurato e supporto commerciale, mantenendo la distribuzione completamente open source.

Il 9 ottobre 2023 viene rilasciata Security Onion 2.4, basata su Elastic Stack 8 e con un refactoring del grid installer.

Componenti inclusi

Security Onion integra in un’unica distribuzione strumenti mantenuti da progetti distinti:

  • Suricata — IDS/IPS con regole Emerging Threats
  • Zeek — Network Security Monitor event-driven
  • Stenographer — full packet capture
  • Wazuh — HIDS con agent distribuiti
  • Elastic Stack — Elasticsearch, Logstash, Kibana
  • TheHive / Cortex — case management e observables
  • CyberChef — trasformazioni dati per analisti
  • Playbook — detection engineering con Sigma rules
  • Strelka — file analysis e scanning

Architettura grid

Security Onion 2.4 propone tre modalità di deployment:

  • Evaluation — tutto su un nodo, per test e laboratori
  • Standalone — sensor + manager su host singolo per piccoli perimetri
  • Distributed — grid con nodi separati (manager, search, storage, heavy sensor, forward node) per ambienti production

L’installer so-setup gestisce l’orchestrazione tramite Salt, con ruoli assegnabili ai nodi.

Licenze

La distribuzione combina componenti con licenze diverse:

  • Suricata, Zeek — BSD / GPLv2
  • Wazuh — GPLv2
  • TheHive, Cortex — AGPLv3
  • Elastic Stack — Elastic License 2.0 + SSPL (non OSI-approved)
  • CyberChef — Apache 2.0
  • Script e tooling SO — Apache 2.0 e licenze correlate

L’uso dei componenti Elastic richiede attenzione in scenari che richiedono strettamente licenze OSI.

Casi d’uso

  • SOC e team di threat hunting — ricerca retrospettiva su pcap, log Zeek e alert Suricata
  • CERT e incident response — triage, timeline, observable management
  • Didattica e training — laboratori universitari, SANS, esercitazioni CTF
  • Red team / blue team — esercitazioni con telemetria reale

Nel contesto italiano

Security Onion è diffuso in università, centri di ricerca, CERT regionali e SOC interni di medie-grandi organizzazioni. È spesso l’ambiente di riferimento per formare analisti L1/L2 e per esercitazioni pratiche su detection e incident response, grazie alla ricchezza di dati che produce su un singolo host di laboratorio.

Riferimenti: Security Onion 2.4 (9 ottobre 2023). Creata da Doug Burks nel 2008. Azienda: Security Onion Solutions, LLC (USA). Componenti: Suricata, Zeek, Stenographer, Wazuh, Elastic Stack, TheHive, Cortex, CyberChef, Strelka. Licenze miste: BSD, GPL, Apache, Elastic License. Sito: https://securityonionsolutions.com

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi