Estudio de la capacidad forense digital de Security Onion

Resumen:
El objetivo de este proyecto, titulado Estudio de la capacidad forense digital de Security Onion, es analizar la distribución Security Onion desde el punto de vista de su aplicación en temas de forensía digital. Para ello se ha comenzado por dar una visión general de lo que es el análisis forense digital, buscando diferentes distribuciones y sus herramientas para realizar una comparativa de lo que pueden hacer. En nuestro caso se ha decidido hacer una descripción general y algunas de sus herramientas, las distribuciones elegidas han sido Kali Linux, Parrot OS, Caine, Black Arch y principalmente Security Onion. Una vez descritas las distribuciones se ha realizado una comparativa hardware y de algunas de las herramientas que contienen en el ámbito de forensía digital de las mismas. Vista esta comparativa se observa que Security Onion está centrada en auditoría de red, por tanto para ver esa capacidad forense, que tenemos como objetivo, se decide crear simulaciones de casos que un analista forense podría tener. Para realizar estas simulaciones se va a utilizar un entorno virtualizado, por ello se hace una descripción general de qué es la virtualización. En este entorno virtualizado estarán interconectadas la suite Security Onion, una máquina víctima, que será Metasploitable3, y una máquina atacante que será Kali Linux. Todas estas máquinas estarán virtualizadas con VirtualBox. Los casos que se han elegido son el robo de archivos, un malware, el análisis de archivos y la recuperación de datos. Tras el análisis de estos casos, tenemos la conclusión que la distribución Security Onion únicamente se centra en temas de que tengan que ver con el tráfico de red pudiendo dar indicios de lo que ha ocurrido, pero en otros ámbitos de las forensía digital no dispone de herramientas para realizar ciertas tareas. Por tanto, se define que la distribución Security Onion no es la mejor opción para el análisis forense digital como lo pudieran ser otras distribuciones.
Abstract:
The aim of this project, titled “Study of the digital forensic capacity of Security Onion,” is to analyze the Security Onion distribution from the perspective of its application in digital forensics. To this end, the project begins with an overview of what digital forensic analysis entails, examining different distributions and their tools to compare their functionalities. In our case, we have decided to provide a general description and some of the tools of the selected distributions, which include Kali Linux, Parrot OS, Caine, Black Arch, and primarily Security Onion. After describing the distributions, a comparison of the hardware and some of the forensic tools they contain has been conducted. From this comparison, it is observed that Security Onion is focused on network auditing. Therefore, to assess its forensic capability, which is our goal, we decided to create simulations of cases that a forensic analyst might encounter. These simulations will be conducted using a virtualized environment, so a general description of virtualization is provided. In this virtualized environment, the Security Onion suite, a victim machine (Metasploitable3), and an attacker machine (Kali Linux) will be interconnected. All these machines will be virtualized using VirtualBox. The selected cases include file theft, malware, file analysis, and data recovery. After analyzing these cases, we concluded that the Security Onion distribution is only focused on network traffic-related issues, providing clues about what has occurred, but lacks the tools to perform certain tasks in other areas of digital forensics. Therefore, it is determined that the Security Onion distribution is not the best option for digital forensic analysis compared to other distributions.

​Resumen:
El objetivo de este proyecto, titulado Estudio de la capacidad forense digital de Security Onion, es analizar la distribución Security Onion desde el punto de vista de su aplicación en temas de forensía digital. Para ello se ha comenzado por dar una visión general de lo que es el análisis forense digital, buscando diferentes distribuciones y sus herramientas para realizar una comparativa de lo que pueden hacer. En nuestro caso se ha decidido hacer una descripción general y algunas de sus herramientas, las distribuciones elegidas han sido Kali Linux, Parrot OS, Caine, Black Arch y principalmente Security Onion. Una vez descritas las distribuciones se ha realizado una comparativa hardware y de algunas de las herramientas que contienen en el ámbito de forensía digital de las mismas. Vista esta comparativa se observa que Security Onion está centrada en auditoría de red, por tanto para ver esa capacidad forense, que tenemos como objetivo, se decide crear simulaciones de casos que un analista forense podría tener. Para realizar estas simulaciones se va a utilizar un entorno virtualizado, por ello se hace una descripción general de qué es la virtualización. En este entorno virtualizado estarán interconectadas la suite Security Onion, una máquina víctima, que será Metasploitable3, y una máquina atacante que será Kali Linux. Todas estas máquinas estarán virtualizadas con VirtualBox. Los casos que se han elegido son el robo de archivos, un malware, el análisis de archivos y la recuperación de datos. Tras el análisis de estos casos, tenemos la conclusión que la distribución Security Onion únicamente se centra en temas de que tengan que ver con el tráfico de red pudiendo dar indicios de lo que ha ocurrido, pero en otros ámbitos de las forensía digital no dispone de herramientas para realizar ciertas tareas. Por tanto, se define que la distribución Security Onion no es la mejor opción para el análisis forense digital como lo pudieran ser otras distribuciones.
Abstract:
The aim of this project, titled “Study of the digital forensic capacity of Security Onion,” is to analyze the Security Onion distribution from the perspective of its application in digital forensics. To this end, the project begins with an overview of what digital forensic analysis entails, examining different distributions and their tools to compare their functionalities. In our case, we have decided to provide a general description and some of the tools of the selected distributions, which include Kali Linux, Parrot OS, Caine, Black Arch, and primarily Security Onion. After describing the distributions, a comparison of the hardware and some of the forensic tools they contain has been conducted. From this comparison, it is observed that Security Onion is focused on network auditing. Therefore, to assess its forensic capability, which is our goal, we decided to create simulations of cases that a forensic analyst might encounter. These simulations will be conducted using a virtualized environment, so a general description of virtualization is provided. In this virtualized environment, the Security Onion suite, a victim machine (Metasploitable3), and an attacker machine (Kali Linux) will be interconnected. All these machines will be virtualized using VirtualBox. The selected cases include file theft, malware, file analysis, and data recovery. After analyzing these cases, we concluded that the Security Onion distribution is only focused on network traffic-related issues, providing clues about what has occurred, but lacks the tools to perform certain tasks in other areas of digital forensics. Therefore, it is determined that the Security Onion distribution is not the best option for digital forensic analysis compared to other distributions. Read More

Related posts:

Estudio de un escenario forense digital: Narcos 2019 Agricultura digital: la trazabilidad gana terreno Diseño de una aplicación para encontrar la distribución de densidad teórica que mejor se ajusta a un conjunto de datos Herramientas digitales en educación para la creación de startups: desde la idea hasta la ejecución Philadelphia Cream Cheese Additional Whipped Flavors 2 60 lakh tons of onion exported in 2024 25 Centre procures 4 68 lakh tons for price stabilisation buffer