ePO 可以将接收到的威胁事件直接转发到
syslog 服务器,在 ePO 中被定义为 已注册的服务器 。 本文指导您设置
syslog 用于测试的环境。
注意:本文并非用于对将事件转发到现有 syslog 服务器时的问题进行故障排除。 相反,目的是帮助设置一个简单、免费的 syslog 环境用于测试和评估目的。
先决条件
开始前,您必须具有 ePO5.9.0或更高版本已安装。
需要以下软件:
- 能够运行虚拟机的虚拟机监控程序,如VMWare Player或VirtualBox.
- Bitnami Elk Stack. 三种捆绑的实现syslog 组件,以虚拟机 (VM) 交付):
https://bitnami.com/stack/elk/virtual-machine
笔记:
- 上述链接仅拥有Linux版本Bitnami Elk Stack.
- 自 2020 年 9 月 25 日,当前版本的 Bitnami 是7.9.1-0.
- McAfee 最近更改了我们用于构建 ELK 资产的技术。 需要丢弃对安装程序Linux、Windows和Mac OS X的支持,因此您无法找到这些安装程序 bitnami.com.对于这些用户,我们继续发布可以在本地使用的 VM,以在您的计算机中部署 ELK。
A) 部署和配置Bitnami ELK Virtual Machine(VM):
下载并部署 VM:
- 下载Bitnami Elk StackVM,并要将其部署到您的环境中。
- 打开虚拟机。
- 在登录屏幕中,用户名和随机生成的默认密码Kibana将显示用户。 随后根据需要,记下密码。
- 默认情况下,通过 DHCP IP地址设置地址。 请记下IP屏幕中显示的地址。
- 使用默认用户名登录虚拟机。 密码为bitnami.
- 系统会提示您为bitnami用户。 选择一个安全的密码。
可选步骤:
虽然无需执行这些步骤,但是如果需要编辑或排除 syslog VM 故障,它们可能会简化操作。
可选步骤 1- 启用根登录和 ssh 访问
- 要启用根登录,请运行以下命令并按 Enter ,并确认新的安全密码:
sudo passwd root
- 要启用 ssh,请运行以下命令:
sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh
- 启用根 ssh 访问:
- 编辑/etc/ssh/sshd_config.
- 找到开始行PermitRootLogin.
- 删除#在开始和更改时prohibit_password自yes. 最后一行如下所示:
PermitRootLogin yes
- 保存文件
- 要重新启动 ssh 服务器,请运行以下命令:
sudo systemctl restart ssh
可选步骤 2:- 更改主机名
- 编辑/etc/hostname,然后使用所需的主机名进行更新。
- 编辑/etc/hosts,然后使用所需的主机名更新127.0.0.1条目。
- 要重新启动 VM 并应用更改,请运行以下命令:
sudo shutdown -r now
B) 创建自签证书:
要通过 ePO 使用 syslog 接收器,需要使用 TCP 和 TLS。 对于本文,我们将创建并使用自签证书。
- 运行以下命令:
sudo mkdir /opt/bitnami/logstash/ssl
cd /opt/bitnami/logstash/ssl
sudo openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout logstash-remote.key -out logstash-remote.crt
- 当系统提示时,输入证书的详细信息。 将通用名称设置为 VM 的完全限定域名 (FQDN)。
- 更改密钥文件的权限并允许logstash若要读取,请键入以下命令:
sudo chmod 644 logstash-remote.key
C) 配置 syslog 接收器(logstash):
- 编辑文件/opt/bitnami/logstash/pipeline/logstash.conf.
- 编辑tcp部分如下:
ssl_cert => "/opt/bitnami/logstash/ssl/logstash-remote.crt"
ssl_key => "/opt/bitnami/logstash/ssl/logstash-remote.key"
- 编辑output部分如下:
output
hosts => ["127.0.0.1:9200"]
- 保存文件。
- 键入以下内容,以打开logstash系统防火墙中的端口:
sudo ufw allow 6514/tcp
可选步骤:
可选步骤 3- 修改默认用户的密码:
- 如前所述,安装虚拟机时,会使用默认用户帐户的随机密码进行配置。 如果您要更改密码,请运行以下命令:
sudo /opt/bitnami/apache2/bin/htpasswd -c /opt/bitnami/kibana/conf/password user
- 在系统提示时输入新密码
- 要重新启动logstash,键入以下命令:
sudo /opt/bitnami/ctlscript.sh restart logstash
现在,您具有一个可由 ePO 使用的正常运行的 syslog 服务器。
D) 配置 ePO 以使用新服务器:
- 登录到 ePO 控制台。
- 导航至 菜单, 配置, 已注册的服务器。
- 点击新建服务器.
- 在 说明 页面的 服务器类型 菜单中,选择Syslog 服务器。
- 指定唯一的名称和任何详细信息,然后单击下.
- 在 已注册的服务器生成器 页面中,配置以下设置:
- 服务器名称- IP Syslog 服务器的地址。
- TCP 端口编号- 输入6514.
- 启用事件转发 - 此选项将启用从代理处理程序向该 syslog 服务器的事件转发。
- 点击测试连接. 此操作会验证与 Syslog 服务器的连接。 现在,您看到以下消息:
Syslog connection success
- 单击保存。
E)现在,您可以使用 Web 浏览器访问 syslog 服务器。
- 在IP URL 中输入步骤 A 中指出的指定地址。
- 系统会提示您登录。 使用默认用户输入用户名以及步骤 A 中说明的随机密码。
注意:如果在可选步骤 3 中重置密码,请确保使用该密码,而不是开始时添加的随机密码。
显示 Elastic 主页。
- 要查看收到的系统日志事件,包括:
- 单击发现对象。
注意:在您可以查看任何事件之前,您必须配置索引模式。
- 点击创建索引模式.
- 在索引模式名称字段,输入一个星号(*),然后单击下一步.
- 自时间字段下拉列表,选择@timestamp,然后单击Create Index Pattern.
- 现在,从左上角的菜单选择发现.
现在至少会显示一个显示的事件,并显示以下消息:
祝贺! 现在,您已经设置了一个与 ePO 一使用的简单 syslog 环境。
如果看到以上内容,则 ePO 已成功测试到您的 syslog 接收器的连接。