FR ▾
Contactez-nous

SECURITY ONION

Votre centre de commandement de sécurité open source

Transformez vos analyses de sécurité en actions défensives concrètes.

Contactez-nous
Security Onion
Security Onion: Your Open-Source Security Command Center
APERÇU

Security Onion : votre centre de commandement de sécurité open source

Security Onion est une plateforme open source conçue par des défenseurs, pour des défenseurs. Elle offre une visibilité réseau, une visibilité sur les hôtes, des pots de miel de détection d’intrusion, ainsi qu’une gestion centralisée des journaux et des incidents.

Pour la visibilité réseau, elle propose une détection basée sur les signatures via Suricata, des métadonnées de protocole riches, l’extraction sélective de fichiers avec Zeek ou Suricata, la capture complète des paquets via Stenographer et l’analyse de fichiers grâce à Strelka.

Pour la visibilité sur les hôtes, Security Onion intègre l’agent Elastic pour la collecte de données, l’interrogation en temps réel via osquery et la gestion centralisée grâce à Elastic Fleet.

Avec plus de 2 millions de téléchargements, Security Onion est adopté en toute confiance par des équipes de sécurité du monde entier pour surveiller et défendre leurs infrastructures. Son assistant d’installation intuitif vous permet de déployer une grille distribuée pour votre organisation en quelques minutes seulement !

Contactez-nous

Hautement évolutif

D’un simple boîtier réseau à une grille de mille nœuds, Security Onion s’adapte à vos besoins spécifiques.

Contactez-nous
Highly Scalable
Open Community

Communauté ouverte

Security Onion et les outils que nous intégrons sont entièrement open source et développés par la communauté de la cybersécurité.

Le code source est disponible sur GitHub, permettant à quiconque souhaite comprendre le fonctionnement interne du système de l’examiner en détail.

Contactez-nous

Cas d’usage

01.

Visibilité réseau

Collectez les événements réseau depuis Zeek, Suricata et d’autres outils pour une couverture réseau complète. Déployez un large filet pour détecter rapidement et facilement les acteurs malveillants.

02.

Visibilité des hôtes

Collectez les événements des hôtes depuis Zeek, Suricata et d’autres outils pour une couverture complète de l’infrastructure. Déployez un large filet pour identifier rapidement et efficacement les activités malveillantes.

03.

Analyse statique (import PCAP et EVTX)

Analysez les données capturées à l’aide de fichiers PCAP et EVTX pour obtenir des informations approfondies sur l’activité du réseau et des hôtes. Détectez rapidement les menaces et comprenez leur impact.

04.

Security Onion Desktop

Collectez les événements réseau via Zeek, Suricata et d’autres outils pour une surveillance complète de l’infrastructure. Déployez un large filet pour détecter les acteurs malveillants de façon rapide et efficace.

Fonctionnalités clés

Alert
Hunt
Detections
Playbooks
PCAP
Cases
Dashboards
Analyzers
Onion AI
MCP

Types de données

01

Agent

Informations collectées directement sur l’hôte par un logiciel agent.

L’agent Elastic s’exécute sur chaque poste pour collecter les journaux, l’activité des processus, les événements d’intégrité des fichiers et les résultats des vérifications osquery en temps réel. Il offre une visibilité approfondie sur ce qui se passe à l’intérieur de vos systèmes — et pas seulement sur le réseau — puis renvoie ces données vers une grille centrale pour corrélation.

  • Journaux système et applicatifs
  • Événements de processus et d’intégrité des fichiers
  • Résultats osquery en temps réel
Source : Elastic Agent →
02

Alerte

Un verdict émis par un moteur de détection sur un événement observé.

Lorsqu’un trafic réseau correspond à une signature ou une règle connue, Suricata déclenche une alerte qui nomme la menace, sa gravité et les hôtes concernés. Les alertes sont le point de départ du tri : chacune est une piste sur laquelle l’analyste peut rebondir vers les paquets, journaux et sessions sous-jacents.

  • Détections basées sur signatures
  • Gravité et catégorie
  • Pivot vers paquets, journaux et sessions
Source : Suricata →
03

Actif

Métadonnées décrivant les hôtes vus sur votre réseau.

Zeek profile passivement chaque appareil qu’il observe et construit un inventaire des actifs avec leurs adresses, les services qu’ils exposent et les logiciels qu’ils exécutent. Cette cartographie vivante aide à repérer les hôtes inconnus ou non autorisés et à saisir d’un coup d’œil l’étendue d’un incident.

  • Appareils et adresses observés
  • Services et logiciels exposés
  • Détection d’hôtes inconnus / non autorisés
Source : Zeek →
04

Contenu extrait

Éléments reconstruits d’une session et métadonnées qui en sont extraites.

Zeek peut extraire des fichiers et artefacts directement depuis les sessions réseau et conserver les métadonnées associées. Les analystes peuvent alors inspecter les documents, exécutables ou scripts transférés, calculer leur empreinte et confirmer si une charge a réellement été livrée.

  • Fichiers extraits du trafic
  • Métadonnées de session associées
  • Empreinte et confirmation de charge
Source : Zeek →
05

Contenu complet

Capture complète des paquets — chaque octet ayant transité sur le réseau.

Stenographer enregistre l’intégralité du trafic réseau sur disque afin que rien ne soit perdu. Lorsqu’une alerte se déclenche, vous pouvez rejouer les paquets exacts qui en sont à l’origine, reconstituer une attaque complète et répondre à des questions que les seuls journaux ne pourraient jamais résoudre.

  • Stockage PCAP haute fidélité
  • Rejeu exact derrière chaque alerte
  • Reconstruction forensique approfondie
Source : Stenographer →
06

Session

Détails sur les échanges entre les hôtes.

Les enregistrements de session (ou flux) résument qui a parlé à qui, quand, via quel protocole et quel volume de données a circulé. Compacts et faciles à exploiter, ils sont idéaux pour repérer le balisage (beaconing), l’exfiltration de données ou les déplacements latéraux sur de longues périodes.

  • Flux qui-parle-à-qui
  • Volume, durée et protocole
  • Chasse au beaconing et à l’exfiltration
Source : Suricata →
07

Transaction

Journaux structurés générés à partir des protocoles réseau (journaux de protocole).

Pour chaque protocole qu’il comprend — HTTP, DNS, SSL/TLS, SMB et bien d’autres — Zeek produit un journal de transaction riche et structuré. Ces journaux de protocole transforment le trafic brut en enregistrements interrogeables et exploitables, qui alimentent la chasse, la détection et l’investigation.

  • Journaux HTTP, DNS, SSL, SMB…
  • Structurés et interrogeables
  • Socle pour la chasse et la détection
Source : Zeek →