ePO può inoltrare gli eventi di minaccia ricevuti direttamente a un
syslog Server, definito in ePO come server registrato. Questo articolo guida l'utente nella configurazione di un
syslog ambiente da utilizzare per il testing.
Nota: Questo articolo non è previsto per la risoluzione dei problemi quando si inoltrano gli eventi a un server syslog esistente. Invece, l'obiettivo è quello di aiutare a creare un ambiente syslog semplice e gratuito a scopo di test e valutazione.
Prerequisiti
Prima di iniziare, è necessario installare ePO 5.9.0 o versioni successive.
È necessario il seguente software:
- Un hypervisor in grado di eseguire la macchina virtuale, ad esempio VMWare Player o VirtualBox .
- Bitnami Elk Stack:Un'implementazione in bundle di tre syslog componenti, fornita come macchina virtuale (VM).
Note:
- Il link sopra riportato contiene solo la versione Linux di Bitnami Elk Stack.
- A partire dal 25 settembre 2020, la versione corrente di Bitnami è 7.9.1 -0.
- Recentemente abbiamo cambiato la tecnologia che usiamo per build le risorse ELK. Era necessario abbandonare il supporto per i programmi di installazione di Linux, Windows e Mac OS X, ed è per questo motivo che non è possibile trovarli in bitnami.com. Per questi utenti, continuiamo a pubblicare le macchine virtuali che è possibile utilizzare localmente per distribuire ELK nel computer.
A) distribuzione e configurazione della Bitnami ELK VM:
Scaricare e distribuire la macchina virtuale:
- Scaricare la Bitnami Elk Stack macchina virtuale e distribuirla nell'ambiente di lavoro.
- Accendere la macchina virtuale.
- Nella schermata di accesso viene visualizzato il nome utente e la password generata in modo casuale per l'utente predefinito Kibana . Prendere nota del password, come è necessario in seguito.
- Per impostazione predefinita, l'indirizzo IP viene impostato tramite DHCP. Prendere nota dell'indirizzo IP visualizzato nella schermata di accesso.
- Accedere alla macchina virtuale utilizzando il nome utente predefinito. La password è bitnami .
- Viene richiesto di scegliere un nuovo password per l' bitnami utente. Scegliere Una password sicuro.
Passaggi facoltativi:
Sebbene non sia necessario eseguire questi passaggi, è possibile semplificare le cose se è necessario modificare o risolvere il problema della VM syslog.
Passaggio facoltativo 1 -attivare l'accesso root e accedere a SSH
- Per attivare l'accesso root, eseguire il comando seguente e premere invio e confermare una nuova password sicura:
sudo passwd root
- Per attivare SSH, eseguire i seguenti comandi:
sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh
- Attiva accesso ssh root:
- Modifica /etc/ssh/sshd_config .
- Individuare la riga che inizia PermitRootLogin .
- Rispostare l' # all'inizio e passare prohibit_password a yes . La riga finale assomiglia a questa:
PermitRootLogin yes
- Salva il file
- Per riavviare il server SSH, eseguire il seguente comando:
sudo systemctl restart ssh
Passaggio facoltativo 2 -modifica del nome host
Il nome predefinito host per la VM è
debian .
- Modificarlo /etc/hostname e aggiornarlo con il nome host richiesto.
- Modificarlo /etc/hosts e aggiornarlo con il nome host richiesto per le 127.0.0.1 voci.
- Per riavviare la macchina virtuale e applicare le modifiche, eseguire il seguente comando:
sudo shutdown -r now
B) creare un certificato autofirmato:
Per utilizzare un receiver syslog con ePO, è necessario utilizzare TCP e TLS. Per questo articolo, creiamo e utilizziamo un certificato autofirmato.
- Eseguire i seguenti comandi:
sudo mkdir /opt/bitnami/logstash/ssl
cd /opt/bitnami/logstash/ssl
sudo openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout logstash-remote.key -out logstash-remote.crt
- Quando richiesto, immettere i dettagli del certificato. Impostare il nome comune sul nome di dominio completo (FQDN) della macchina virtuale.
- Per modificare le autorizzazioni per il file di chiave e consentirne logstash la lettura, digitare il seguente comando:
sudo chmod 644 logstash-remote.key
C) configurare il Receiver syslog ( logstash ):
- Modifica del file /opt/bitnami/logstash/pipeline/logstash.conf.
- Modificare la tcp sezione come indicato di seguito:
ssl_cert => "/opt/bitnami/logstash/ssl/logstash-remote.crt"
ssl_key => "/opt/bitnami/logstash/ssl/logstash-remote.key"
- Modificare la output sezione come indicato di seguito:
output
hosts => ["127.0.0.1:9200"]
- Salvare il file.
- Digitare quanto segue per aprire la logstash porta nel firewall di sistema:
sudo ufw allow 6514/tcp
Passaggi facoltativi:
Passaggio facoltativo 3 -modificare il password dell'utente predefinito:
- Come accennato in precedenza, quando si installa la macchina virtuale, questa viene configurata con Una password casuale per l'account utente predefinito. Se si desidera modificare il password, eseguire il comando seguente:
sudo /opt/bitnami/apache2/bin/htpasswd -c /opt/bitnami/kibana/conf/password user
- Immettere un nuovo password quando richiesto
- Per riavviare logstash , digitare il seguente comando:
sudo /opt/bitnami/ctlscript.sh restart logstash
Ora si dispone di un server syslog funzionante che ePO può utilizzare.
D) configurare ePO in modo che utilizzi il nuovo server:
- Accedere alla console di ePO.
- Passare a menu, configurazione, Server registrati.
- Fare clic su Nuovo server.
- Nel menu tipo di server della pagina Descrizione, selezionare server syslog.
- Specificare un nome univoco e tutti i dettagli, quindi fare clic su Avanti.
- Nella pagina Creazione server registrati, configurare le seguenti impostazioni:
- Nome server : immettere l'indirizzo IP del server syslog.
- Porta TCP numero : immettere 6514 .
- Attiva inoltro eventi : questa opzione consente l'inoltro di eventi da Agent gestore a questo server syslog.
- Fare clic su
Verifica connessione. Questa azione consente di verificare la connessione al server syslog. Ora viene visualizzato il seguente messaggio:
Syslog connection success
- Fare clic su Salva.
E) ora è possibile accedere al server syslog utilizzando un browser Web.
- Immettere l'indirizzo IP indicato nel passaggio A, nell'URL del browser.
- Viene richiesto di effettuare l'accesso. Utilizzare l'utente predefinito per il nome utente e il password casuale indicato nel passaggio A.
Nota: Se è stato reimpostato il password nel passaggio 3 facoltativo, assicurarsi di utilizzare tale password, non quello casuale indicato all'avvio.
Viene visualizzata la Home page elastica.
- Per visualizzare gli eventi syslog ricevuti:
- Fare clic sull'oggetto Discover .
Nota: Prima di poter visualizzare gli eventi, è necessario configurare un pattern di indice.
- Fare clic su Crea pattern Indice.
- Nel campo Nome pattern index , immettere un asterisco singolo (*), quindi fare clic su passaggio successivo.
- Nell'elenco a discesa campo orario , selezionare @timestamp e fare clic su Create Index Pattern .
- Ora, dal menu nell'angolo in alto a sinistra, selezionare individua.
Ora viene visualizzato almeno un evento, con il seguente messaggio:
Congratulations! You have now set up a simple syslog environment for use with ePO.
Se è possibile osservare quanto sopra, ePO ha testato correttamente la connessione al ricevitore syslog.