ePO puede reenviar eventos de amenazas recibidas directamente a un
syslog servidor, que se define en ePO como servidor registrado. Este artículo le guiará a través de la configuración de un
syslog entorno para su uso en las pruebas.
Nota: Este artículo no está destinado a solucionar problemas de reenvío de eventos a un servidor de syslog existente. En su lugar, el objetivo es ayudar a configurar un entorno syslog sencillo y gratuito con fines de prueba y evaluación.
Requisitos previos
Antes de comenzar, debe tener instalado ePO 5.9.0 o posterior.
Se necesita el siguiente software:
- Un hipervisor capaz de ejecutar la máquina virtual, como VMWare Player o VirtualBox .
- Bitnami Elk Stack:Una implementación integrada de tres syslog componentes, que se entrega como máquina virtual (VM).
Notas:
- El vínculo anterior solo tiene la versión Linux de Bitnami Elk Stack.
- A partir del 25 de septiembre de 2020, la versión actual de Bitnami es 7.9.1 -0.
- Hemos cambiado recientemente la tecnología que usamos para crear los activos de ELK. Se necesitaba descartar la compatibilidad con los instaladores Linux, Windows y Mac OS X, y es por eso que no puede encontrarlos en bitnami.com. Para esos usuarios, continuamos publicando las máquinas virtuales que puede utilizar de forma local para desplegar ELK en su equipo.
A) despliegue y configuración de la Bitnami ELK máquina virtual:
Descargue e implemente la máquina virtual:
- Descargue la Bitnami Elk Stack máquina virtual y impleméntela en su entorno.
- Encienda la máquina virtual.
- En la pantalla de inicio de sesión, se mostrarán el nombre de usuario y la contraseña generada de forma Kibana aleatoria. Tome nota de la contraseña, ya que es necesaria más tarde.
- De forma predeterminada, la dirección IP se establece mediante DHCP. Tome nota de la dirección IP que se muestra en la pantalla de inicio de sesión.
- Inicie sesión en la máquina virtual mediante el nombre de usuario predeterminado. La contraseña es bitnami .
- Se le solicitará que elija una nueva contraseña para el bitnami usuario. Elija una contraseña segura.
Pasos opcionales:
Aunque no es necesario realizar estos pasos, pueden hacer cosas más sencillas si necesita editar o solucionar los problemas de la máquina virtual de syslog.
Paso 1 opcional : permitir el inicio de sesión raíz y el acceso ssh
- Para activar inicio de sesión raíz, ejecute el siguiente comando y pulse Intro, y confirme una nueva contraseña segura:
sudo passwd root
- Para activar SSH, ejecute los siguientes comandos:
sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh
- Seleccione acceso ssh raíz:
- Editar /etc/ssh/sshd_config .
- Localice la línea que se inicia PermitRootLogin .
- #Elimine al principio y cambie prohibit_password a yes . La línea final es similar a la siguiente:
PermitRootLogin yes
- Guardar el archivo
- Para reiniciar el servidor SSH, ejecute el siguiente comando:
sudo systemctl restart ssh
Paso 2 opcional : cambiar el nombre de la host
El nombre de host predeterminado para la máquina virtual es
debian .
- Edite /etc/hostname y actualice la aplicación con el nombre de host requerido.
- Edite /etc/hosts y actualice con el nombre de host necesario para para los 127.0.0.1 entradas.
- Para reiniciar la máquina virtual y aplicar los cambios, ejecute el siguiente comando:
sudo shutdown -r now
B) crear un certificado autofirmado:
Para utilizar un receptor de syslog con ePO, es necesario utilizar TCP y TLS. En este artículo, creamos y utilizamos un certificado autofirmado.
- Ejecute los siguientes comandos:
sudo mkdir /opt/bitnami/logstash/ssl
cd /opt/bitnami/logstash/ssl
sudo openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout logstash-remote.key -out logstash-remote.crt
- Cuando se le solicite, introduzca los detalles del certificado. Establezca el nombre común en el nombre de dominio completo (FQDN) de la máquina virtual.
- Para cambiar los permisos del archivo de claves y permitir logstash su lectura, escriba el siguiente comando:
sudo chmod 644 logstash-remote.key
C) configurar el receptor de syslog ( logstash ):
- Editar el archivo /opt/bitnami/logstash/pipeline/logstash.conf.
- Edite la tcp sección como sigue:
ssl_cert => "/opt/bitnami/logstash/ssl/logstash-remote.crt"
ssl_key => "/opt/bitnami/logstash/ssl/logstash-remote.key"
- Edite la output sección como sigue:
output
hosts => ["127.0.0.1:9200"]
- Guarde el archivo.
- Escriba lo siguiente para abrir el logstash Puerto en el firewall del sistema:
sudo ufw allow 6514/tcp
Pasos opcionales:
Paso 3 opcional -modificar la contraseña del usuario predeterminado:
- Tal y como se ha mencionado anteriormente, cuando se instala la máquina virtual, se configura con una contraseña aleatoria para la cuenta de usuario predeterminada. Si desea cambiar la contraseña, ejecute el siguiente comando:
sudo /opt/bitnami/apache2/bin/htpasswd -c /opt/bitnami/kibana/conf/password user
- Introduzca una nueva contraseña cuando se le solicite
- Para reiniciar logstash , escriba el siguiente comando:
sudo /opt/bitnami/ctlscript.sh restart logstash
Ahora dispone de un servidor de syslog que puede utilizar ePO.
D) Configurar ePO para utilizar el nuevo servidor:
- Inicie sesión en la consola de ePO.
- Desplácese hasta menú, configuración, servidores registrados.
- Haga clic en Nuevo servidor.
- En el menú tipo de servidor de la página Descripción, seleccione servidor syslog.
- Especifique un nombre exclusivo y los detalles que desee y, a continuación, haga clic en siguiente.
- En la página Generador de servidores registrados, configure las siguientes opciones:
- Nombre del servidor : Introduzca la dirección IP del servidor de syslog.
- Número de puerto TCP : introducir 6514 .
- Seleccione reenvío de eventos : esta opción permite el reenvío de eventos desde controlador de agentes a este servidor de syslog.
- Haga clic en Probar conexión. Esta acción verifica la conexión con el servidor de syslog. Ahora verá el siguiente mensaje:
Syslog connection success
- Haga clic en Guardar.
E) ahora es posible acceder al servidor de syslog mediante un navegador web.
- Introduzca la dirección IP anotada en el paso A en la URL del navegador.
- Se le pedirá que inicie sesión. Use el usuario predeterminado para el nombre de usuario y la contraseña aleatoria que anotó en el paso A.
Nota: Si ha restablecido la contraseña en el paso 3 opcional, asegúrese de utilizar esa contraseña, no la aleatoria que haya anotado al principio.
Se mostrará la Página principal de elástico.
- Para ver los eventos de syslog recibidos:
- Haga clic en el objeto Discover .
Nota: Para poder ver los eventos, es necesario configurar un patrón de índice.
- Haga clic en crear patrón de índice.
- En el campo nombre del patrón de índice , introduzca un solo asterisco (*) y, a continuación, haga clic en siguiente paso.
- En la lista desplegable campo de hora , seleccione @timestamp y haga clic en Create Index Pattern .
- Ahora, en el menú de la esquina superior izquierda, seleccione descubrir.
Ahora aparece al menos un evento, con el siguiente mensaje:
Congratulations! You have now set up a simple syslog environment for use with ePO.
Si puede ver lo anterior, ePO ha probado correctamente la conexión con su receptor de syslog.