ePO peut transférer les événements de menace reçus directement à un
syslog serveur, qui est défini dans ePO en tant que serveur enregistré. Cet article vous guide tout au long de la configuration d’un
syslog environnement à utiliser dans les tests.
Remarque : Cet article n’est pas destiné à résoudre des problèmes lors du transfert d’événements à un serveur Syslog existant. Au lieu de cela, l’objectif est d’aider à configurer un environnement syslog simple et gratuit à des fins de test et d’évaluation.
Conditions préalables
Avant de commencer, vous devez avoir installé ePO 5.9.0 ou une version ultérieure.
Les logiciels suivants sont nécessaires :
- Un hyperviseur capable d’exécuter la machine virtuelle, par exemple VMWare Player ou VirtualBox .
- Bitnami Elk Stack:Une mise en œuvre groupée de trois syslog composants, fournie sous la forme d’une machine virtuelle (VM).
Remarques :
- Le lien ci-dessus ne présente que la version Linux de Bitnami Elk Stack.
- A compter du 25 septembre, 2020, la version actuelle de Bitnami est 7.9.1 -0.
- Nous avons récemment modifié la technologie que nous utilisons pour build les actifs ELK. Il était nécessaire de supprimer la prise en charge des programmes d’installation Linux, Windows et Mac OS X, et c’est pourquoi vous ne pouvez pas les trouver dans bitnami.com. Pour ces utilisateurs, nous continuons à publier les VM que vous pouvez utiliser localement pour déployer le kit ELK sur votre ordinateur.
A) déploiement et configuration de la Bitnami ELK machine virtuelle :
Téléchargez et déployez la machine virtuelle:
- Téléchargez la VM et déployez-la Bitnami Elk Stack dans votre environnement.
- Cliquez sur la machine virtuelle.
- Dans l’écran de connexion, le nom d’utilisateur et le mot de passe généré de manière aléatoire pour l’utilisateur par défaut Kibana s’affichent. Prenez note du mot de passe, tel que nécessaire ultérieurement.
- Par défaut, l’adresse IP est définie via DHCP. Prenez note de l’adresse IP affichée sur l’écran de connexion.
- Connectez-vous à la machine virtuelle à l’aide du nom d’utilisateur par défaut. Le mot de passe est bitnami .
- Vous êtes invité à choisir un nouveau mot de passe pour l' bitnami utilisateur. Choisissez un mot de passe sécurisé.
Etapes facultatives :
Bien qu’il ne soit pas nécessaire d’effectuer ces étapes, ils peuvent simplifier les choses si vous devez modifier ou résoudre les problèmes liés à la machine virtuelle syslog.
Étape 1 -activation de l’ouverture de session racine et de l’accès SSH
- Pour activer la connexion racine, exécutez la commande suivante et appuyez sur entrée, puis confirmez un nouveau mot de passe sécurisé :
sudo passwd root
- Pour activer SSH, exécutez les commandes suivantes :
sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh
- Activer l’accès SSH racine :
- Modifier /etc/ssh/sshd_config .
- Recherchez la ligne qui commence PermitRootLogin .
- Supprimez le # au début et passez prohibit_password à yes . La dernière ligne se présente comme suit :
PermitRootLogin yes
- Enregistrer le fichier
- Pour redémarrer le serveur SSH, exécutez la commande suivante :
sudo systemctl restart ssh
Étape 2 -modifiez le nom d’hôte (facultatif).
Le nom d’hôte par défaut de la machine virtuelle est
debian .
- Modifiez /etc/hostname -la et mettez-la à jour avec le nom d’hôte requis.
- Modifiez /etc/hosts -la et mettez-la à jour avec le nom d’hôte requis pour les 127.0.0.1 entrées.
- Pour redémarrer la machine virtuelle et appliquer les modifications, exécutez la commande suivante :
sudo shutdown -r now
B) créez un certificat auto-signé :
Pour utiliser un récepteur syslog avec ePO, il est nécessaire d’utiliser les protocoles TCP et TLS. Pour cet article, nous créons et utilisons un certificat autosigné.
- Exécutez les commandes suivantes :
sudo mkdir /opt/bitnami/logstash/ssl
cd /opt/bitnami/logstash/ssl
sudo openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout logstash-remote.key -out logstash-remote.crt
- Lorsque vous y êtes invité, entrez les détails du certificat. Définissez le nom commun sur le nom de domaine complet (FQDN) de la machine virtuelle.
- Pour modifier les autorisations du fichier de clés et autoriser logstash sa lecture, saisissez la commande suivante :
sudo chmod 644 logstash-remote.key
C) Configurez le récepteur syslog ( logstash ) :
- Modifier le fichier /opt/bitnami/logstash/pipeline/logstash.conf.
- Modifiez la tcp section comme suit :
ssl_cert => "/opt/bitnami/logstash/ssl/logstash-remote.crt"
ssl_key => "/opt/bitnami/logstash/ssl/logstash-remote.key"
- Modifiez la output section comme suit :
output
hosts => ["127.0.0.1:9200"]
- Enregistrez le fichier.
- Pour ouvrir le logstash port dans le pare-feu du système, saisissez les informations suivantes :
sudo ufw allow 6514/tcp
Etapes facultatives :
Étape 3 facultative -modifiez le mot de passe de l’utilisateur par défaut :
- Comme indiqué précédemment, lorsque vous installez la machine virtuelle, elle est configurée avec un mot de passe aléatoire pour le compte d’utilisateur par défaut. Si vous souhaitez modifier le mot de passe, exécutez la commande suivante :
sudo /opt/bitnami/apache2/bin/htpasswd -c /opt/bitnami/kibana/conf/password user
- Entrer un nouveau mot de passe lorsque vous y êtes invité
- Pour redémarrer logstash , saisissez la commande suivante :
sudo /opt/bitnami/ctlscript.sh restart logstash
Vous disposez à présent d’un serveur Syslog fonctionnel qu’ePO peut utiliser.
D) Configurez ePO pour qu’il utilise le nouveau serveur :
- Connectez-vous à la console ePO.
- Accédez à menu, configuration, serveurs enregistrés.
- Cliquez sur Nouveau serveur.
- Dans le menu type de serveur de la page Description, sélectionnez serveur syslog.
- Spécifiez un nom unique, ainsi que les détails éventuels, puis cliquez sur suivant.
- Dans la page Générateur de serveurs enregistrés, configurez les paramètres suivants :
- Nom du serveur : entrez l’adresse IP du serveur syslog.
- Numéro de port TCP -entrée 6514 .
- Activer le transfert des événements : cette option active le transfert des événements du gestionnaire d'agents vers ce serveur syslog.
- Cliquez sur Test Connection (Tester la connexion). Cette action permet de vérifier la connexion à votre serveur syslog. Le message suivant s’affiche désormais :
Syslog connection success
- Cliquez sur Enregistrer.
E) vous pouvez désormais accéder au serveur Syslog à l’aide d’un navigateur Web.
- Entrez l’adresse IP notée à l’étape A, dans l’URL du navigateur.
- Vous êtes invité à vous connecter. Utilisez l’utilisateur par défaut pour le nom d’utilisateur et le mot de passe aléatoire notés à l’étape A.
Remarque : Si vous avez réinitialisé le mot de passe à l’étape 3 facultative, assurez-vous d’utiliser ce mot de passe, et non le aléatoire indiqué au début.
La page d’accueil élastique s’affiche.
- Pour afficher les événements Syslog reçus :
- Cliquez sur l’objet Discover .
Remarque : Avant de pouvoir afficher des événements, vous devez configurer un modèle d’index.
- Cliquez sur créer un modèle d’index.
- Dans le champ nom du modèle d’index , entrez un astérisque unique (*), puis cliquez sur l' étape suivante.
- Dans la liste déroulante champ temporel , sélectionnez @timestamp , puis cliquez sur Create Index Pattern .
- A présent, dans le menu situé dans le coin supérieur gauche, sélectionnez découvrir.
Vous voyez maintenant au moins un événement affiché, avec le message suivant :
Congratulations! You have now set up a simple syslog environment for use with ePO.
Si vous voyez ce qui précède, ePO a réussi à tester la connexion à votre récepteur syslog.