Zeek Newsletter - Issue 56 - October 2025

Welcome to the Zeek Newsletter In this Issue: Reminders Tip of the Month Community Call Recap Contributor Shoutout Development Updates Ecosystem News Packages Get Involved TL;DR: Zeek 8.0.4 is out with stability improvements, 8.1 development continues with ZeroMQ integration and WebSocket support, and CERN workshop registration is filling fast! Don’t Miss This – Reminders for the Community Zeek Workshop Europe (Geneva, Mar. 25-26) Registration is now open for a free, two-day workshop at ...

Security Onion 2.4.180 verpetzt offline gegangene Agenten - LinuxCommunity

Die Distribution Security Onion liefert eine Plattform für Sicherheitsexperten. Das neue Release zählt die Versionsnummer zwar nur leicht hoch, es bietet jedoch kleinere nützliche Funktionen. Unter anderem schlägt das System Alarm, wenn ein Agent nicht mehr erreichbar ist. Security Onion verfügt über eine eigene Benutzeroberfläche, die Security Onion Console (SOC). In ihr gestellte (Such-)Anfragen lassen sich in der Version 2.4.180 abbrechen. Das ist vor allem dann nützlich, wenn eine Anfrage extrem viel Zeit verschlingt. Angezeigte IP-Adressen kann die SOC per Reverse DNS Lookups in die passenden Domainnamen übersetzen. Ab sofort muss man diese nützliche Funktion nicht mehr deaktivieren, wenn man ein Static Hostname Mapping und somit eine eigene Liste mit IP-Adressen und ihren DNS-Namen verwenden möchte. Mit der Version 2.4.180 rutscht das Reverse DNS Lookup allerdings an eine andere Stelle. Wer die Funktion bereits genutzt hat, muss sie daher noch einmal erneut aktivieren. Security Onion 2.4.180 schlägt jetzt auch Alarm, wenn ein Elastic Agent offline geht beziehungsweise ausfällt. Unter der Haube arbeiten zudem Elastic 8.18.6, Suricata 7.0.12 und Zeek 7.0.10. Neue Funktionen gibt es auch für die kommerzielle Pro-Edition. Bereits seit der Version 2.4.170 können Pro-Nutzer einen Hypervisor aufsetzen, der dann wiederum mehrere virtuelle Maschinen mit Security Onion jongliert. Die aktuelle Version kann einen Manager-Knoten erstellen, der ebenfalls als Hypervisor arbeitet (Node vom Typ „managerhype“). Des Weiteren bietet die Pro-Edition eine Reporting-Funktion und exportiert Daten für Analysezwecke.

Security Onion nimmt Nutzer bei Sicherheitsvorfällen an die Hand - LinuxCommunity

Die Distribution Security Onion hilft vor allem beim Threat Hunting, Netzwerkmonitoring und Log Management. Die neue Version gibt Sicherheitsexperten weitere Hilfen in Form von Playbooks an die Hand, der kommerziellen Pro-Fassung steht zudem ein MCP-Server bereit. Security Onion setzt im Hintergrund verschiedene Sicherheitswerkzeuge wie Suricata ein. Sollte eines von ihnen einen Sicherheitsvorfall melden, bietet Security Onion 2.4.160 dazu jetzt eine „Guided Analysis“ an. Diese geführte Analyse stellt eine Reihe von Fragen, mit denen Anwender den Vorfall einordnen beziehungsweise eine Lösung finden können. So fragt Security Onion beispielsweise, welcher Prozess an der betroffenen Netzwerkverbindung beteiligt war. Zu jeder Frage liefert Security Onion ergänzende Daten des meldenden Werkzeugs, etwa wann das fragliche Ereignis auftreten ist oder von welcher IP-Adresse es ausging. Diese konkreten Informationen helfen dabei, die Frage besser einzuordnen und Lösungen finden zu können. Die Fragen fassen sogenannte Playbooks thematisch zusammen. Für die meisten typischen Vorfälle hält Security Onion passende Playbooks parat und wählt sie automatisch zum jeweiligen Problem aus. Die Playbooks orientieren sich am gleichnamigen Standard von Chris Sanders. Security Onion 2.4.160 bringt einige per Hand erstellte Playbooks mit, obendrauf gibt es noch per KI generierte Exemplare für ETOPEN NIDS-Regeln. Wer die kommerzielle Pro-Fassung einsetzt und eine eigene KI betreibt, kann diese jetzt mit dem Security Onion Model Context Protocol (MCP) Server verbinden. Letztgenannter liefert der KI zusätzliche Informationen unter anderem über Alerts, Playbooks und Events. Ebenfalls neu für Pro-Kunden ist die Security Onion App für Splunk. Abschließend haben die Entwickler Fehler korrigiert und die Kernkomponenten unter der Haube aufgefrischt. So basiert das ISO-Image jetzt auf Oracle Linux 9.5, zum Einsatz kommen zudem Hydra 2.3.0, InfluxDB 2.7.12 und ElastAlert2 2.24.0.

Testing Security Onion's DNS C2 Detection Capabilities

In this post, the DNS command-and-control (C2) detection capabilities of Security Onion are evaluated using Sliver. A standalone installation of Security Onion is assumed; however, the solutions presented should be applicable to other deployment models as well. The process begins with the setup of Sliver’s DNS C2 feature.\nSetting up Sliver DNS C2 Step-by-step instructions for setting up DNS C2 are provided in the Sliver documentation. Cloudflare DNS is used as the example in the documentation. When using Cloudflare DNS, the setup process is straightforward due to the detailed guidance.\n

First Time Users — Security Onion Documentation 2.4 documentation