Sau khi hoàn thành cài đặt Security Onion thì hệ thống đã được chạy như IDS. Security Onion có thể chạy Snort hoặc Suricata làm Hệ thống phát hiện xâm nhập mạng (NIDS). Khi chạy Setup và chọn Evaluation Mode, hệ thống tự động mặc định chọn Snort.
Trong Security Onion, hệ thống biên dịch cả Snort và Suricata để hỗ trợ PF-RING cho hiệu suất cao hơn. Suricata cũng hỗ trợ AF-PACKET như một giải pháp thay thế.
Để chuyển từ Snort sang Suricata ta thực hiện lần lượt các lệnh sau:
sudo so-sensor-stop
sudo sed -i 's|ENGINE=snort|ENGINE=suricata|g' /etc/nsm/securityonion.conf sudo rule-update
Hình 3.3:Chuyển sử dụng Snort sang Suricata.
Để chuyển từ Suricata sang Snort ta thực hiện lần lượt các lệnh sau:
sudo so-sensor-stop
sudo sed -i 's|ENGINE=suricata|ENGINE=snort|g' /etc/nsm/securityonion.conf sudo rule-update
sudo so-sensor-start
Hình 3.4:Chuyển sử dụng Snort sang Suricata.
Trong Security Onion, hệ thống biên dịch Snort với PF-RING để cho phép xoay nhiều phiên bản để xử lý nhiều lưu lượng hơn. Để có hiệu suất tốt nhất, Snort nên được ghim vào các CPU cụ thể bằng cách thêm một dòng vào tệp
IDS_LB_CPUS=1,3,5,7
Hình 3.5:Cấu hình sử dụng CPU cho Snort.
Sau đó khởi động lại thành phần Snort bằng câu lệnh:
sudo so-nids-start
hoặc
sudo so-nids-restart
Hình 3.6:Kiểm tra thành phần NIDS.
Cấu hình Snort có thể thay đổi qua /etc/nsm/HOSTNAME-INTERFACE/snort.conf
(trong đó HOSTNAME là tên máy chủ thực tế và INTERFACE là giao diện thu thập dò tìm thực tế).
Hệ thống tích hợp Suricata để hỗ trợ cả PF-RING và AF-PACKET để cho phép tập hợp nhiều phương thức để xử lý nhiều lưu lượng truy cập hơn. Trong phiên bản hiện tại thiết lập mặc định là AF-PACKET.
Để có hiệu suất tốt nhất, các quy trình Suricata nên được ghim vào các CPU cụ thể. Có thể sử dụng cài đặt trong suricata.yaml. Người dùng có thể định cấu hình Suricata qua /etc/nsm/HOSTNAME-INTERFACE/suricata.yaml (trong đó HOSTNAME là tên máy chủ thực tế và INTERFACE là giao diện kiểm tra thực tế).
Để khắc phục sự cố Suricata, cần kiểm tra /var/log/nsm/HOSTNAME-
INTERFACE/suricata.log.