NSM (Network Security Monitoring) to działania mające na celu monitorowanie bezpieczeństwa sieci poprzez zbieranie i analizę danych oraz eskalację podejrzanych symptomów i ostrzeżeń w celu wykrywania włamań i reagowania na nie.
Security Onion (SO, security.onion blogspot.com) – to przykład darmowego opensourcowego narzędzia NSM do zbierania i interpretowania ruchu sieciowego. Jednocześnie wdrożenie takiego systemu jest łatwe, a jego obsługa prosta. Możliwe jest wdrożenie takiego systemu w postaci rozproszonej z oddzielnymi składnikami w postaci serwera i sensorów jak i w trybie autonomicznym, gdzie pakiet SO jest samowystarczalnym rozwiązaniem.
Pakiet SO można instalować z poprzez pobranie pliku iso, wypalenie go na płytce. Bądź poprzez skorzystanie z repozytoriów Ubuntu o nazwie Personal Package Archives.
System SO standardowo wyposażony jest w różnorodne narzędzia, a listę ich można znaleźć na wiki projektu SO.
Narzędzia do prezentacji danych występują w postaci interfejsu wiersz poleceń jak i w postaci graficznej. Ponadto system SO udostępnia różnież do prezentacji danych konsole NSM.
Narzędzia do analizy pakietów odczytują zawartość ruchu sieciowego na gorąco z interfejsu lub lub z pliku zawierającego zapis ruchu w postaci pcap.
Narzędzia korzystające z wiersza poleceń Tcpdump, Tshark oraz klient Argus o nazwie Ra. Tshark współpracuje z narzędziem zbierającym dane Dumpcap.
Narzędzia posiadające interfejs graficzny to Wireshark, Xplico i Network Miner. Dwa z wymienionych umożliwiają odtwarzanie zawartości strony przechwyconej z ruchu sieciowego.
Konsole NSM – podejmujące operacje związane ze śledztwem i schematem działań zgodnych z metodologiom NSM. Oprogramowanie w tej kategorii to Sguil, Squert, Snorby i ELSA.
Narzędzia SO do zbierania danych oprogramowanie w tej kategorii obejmuje serwer aplikacji Argus, Netsniff-ng, PRADS, Snort, Suricata i Bro. Oraz domyślnie nieaktywny Dumpcap.
Narzędzia SO dostarczające dane oprogramowanie w tej kategorii to PulledPork, Barnyard2 i CapMe. Zarządzają one regułami IDS , przetwarzniem alertów i dostępem do danych pcap.