GNU/Linux >> Linux の 問題 >  >> Linux

ハイブ(セキュリティインシデント対応プラットフォーム)

このページは、TheHive4インスタンスを起動して実行するためのステップバイステップのインストールおよび構成ガイドです。このガイドは、Debianパッケージベースのシステムとバイナリパッケージからのインストールの例で説明されています。

Java仮想マシン

apt-get install -y openjdk-8-jre-headless
echo JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64" >> /etc/environment
export JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

TheHiveはJava11でロードできますが、Java8が必要な安定バージョンのCassandraではロードできません。TheHiveサーバーとは別のデータベース用にクラスターをセットアップする場合:

  • CassandraノードはJava8でロードできます
  • TheHiveノードはJava11でロードできます

同じOS上にTheHiveとCassandraを搭載したスタンドアロンサーバーの場合、両方のアプリケーションにJava8のみをインストールすることをお勧めします。

Cassandraデータベース

Apache Cassandraは、スケーラブルで可用性の高いデータベースです。 TheHiveは最新の安定バージョン3.11.xをサポートしています カサンドラの。

リポジトリからインストール

Apacheリポジトリ参照を追加する

curl -fsSL https://www.apache.org/dist/cassandra/KEYS | sudo apt-key add -
echo "deb http://www.apache.org/dist/cassandra/debian 311x main" | sudo tee -a /etc/apt/sources.list.d/cassandra.sources.list

パッケージをインストールする

sudo apt update
sudo apt install cassandra

デフォルトでは、データは/var/lib/cassandraに保存されます 。

構成

cluster_nameを変更することから始めます thpを使用 。コマンドcqlshを実行します :

cqlsh localhost 9042
cqlsh> UPDATE system.local SET cluster_name = 'thp' where key='local';

終了して実行します:

nodetool flush

/etc/cassandra/cassandra.yamlを編集してCassandraを設定します ファイル。

# content from /etc/cassandra/cassandra.yaml

cluster_name: 'thp'
listen_address: 'xx.xx.xx.xx' # address for nodes
rpc_address: 'xx.xx.xx.xx' # address for clients
seed_provider:
    - class_name: org.apache.cassandra.locator.SimpleSeedProvider
      parameters:
          # Ex: "<ip1>,<ip2>,<ip3>"
          - seeds: 'xx.xx.xx.xx' # self for the first node
data_file_directories:
  - '/var/lib/cassandra/data'
commitlog_directory: '/var/lib/cassandra/commitlog'
saved_caches_directory: '/var/lib/cassandra/saved_caches'
hints_directory: 
  - '/var/lib/cassandra/hints'

次に、サービスを再起動します:

service cassandra restart

デフォルトでは、Cassandraは7000/tcpでリッスンします (ノード間)、9042/tcp (クライアント)。

ファイルストレージ

TheHiveにアップロードされたファイル(タスクログ またはobservables )は、ローカルシステム、Hadoopファイルシステム(推奨)、またはグラフデータベースに格納できます。

スタンドアロンの本番サーバーとテストサーバーの場合は、ローカルファイルシステムを使用することをお勧めします。 TheHiveを使用してクラスターを構築することを検討している場合、HadoopまたはS3サービスを使用するといういくつかの可能な解決策があります。

このオプションは、スタンドアロンサーバーに最適 。 TheHive 4のインスタンス用にクラスターを構築する場合は、次のことをお勧めします。

  • すべてのノードに共通のNFS共有を使用する
  • S3またはHDFSを実装するストレージソリューションを確認します。

ローカルファイルシステムにファイルを保存するには、まず専用フォルダを選択します。

mkdir -p /opt/thp/thehive/files

このパスは、アプリケーションの構成で使用されます。

後で、TheHiveをインストールした後、ユーザーがthehiveであることを確認します。 ファイルを保存するために選択されたパスを所有します:

chown -R thehive:thehive /opt/thp/thehive/files

TheHive

このパートには、TheHiveをインストールして構成する手順が含まれています。

TheHive4を古いバージョンと同じサーバーにインストールすることはできません。特に移行が予想される場合は、新しいサーバーにインストールすることをお勧めします

インストール

すべてのパッケージは、パッケージリポジトリに公開されています。 。そのフィンガープリントは0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C

curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -

ハイブは、アプリケーションの安定版とベータ版もリリースします。

安定したバージョン

echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

ベータ版

echo 'deb https://deb.thehive-project.org beta main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

テスト目的でのみベータ版を使用または試してみることをお勧めします。

構成

アプリを正常に起動するには、次の構成が必要です。

  • シークレットキーの構成
  • データベース構成
  • ファイルストレージの構成

シークレットキーの構成

The secret key is automatically generated and stored in /etc/thehive/secret.conf by package installation script.

データベース

Cassandraデータベースを使用するには、TheHive構成ファイル(/etc/thehive/application.conf )次の行で編集および更新する必要があります:

db {
  provider: janusgraph
  janusgraph {
    storage {
      backend: cql
      hostname: ["127.0.0.1"] # seed node ip addresses
      #username: "<cassandra_username>"       # login to connect to database (if configured in Cassandra)
      #password: "<cassandra_passowrd"
      cql {
        cluster-name: thp       # cluster name
        keyspace: thehive           # name of the keyspace
        local-datacenter: datacenter1   # name of the datacenter where TheHive runs (relevant only on multi datacenter setup)
        # replication-factor: 2 # number of replica
        read-consistency-level: ONE
        write-consistency-level: ONE
      }
    }
  }
}

ファイルシステム

1:If you chose to store files on the local filesystem:

Ensure permission of the folder


chown -R thehive:thehive /opt/thp/thehive/files
2: add following lines to TheHive configuration file (https://1118798822.rsc.cdn77.org/etc/thehive/application.conf)


## Storage configuration
storage {
provider = localfs
localfs.location = /opt/thp/thehive/files
}

実行

構成ファイルを保存してサービスを実行します:

service thehive start

サービス開始までに時間がかかる場合がありますので、あらかじめご了承ください。起動したら、ブラウザを起動してhttp://YOUR_SERVER_ADDRESS:9000/に接続できます。 。

アプリケーションのウェブサイト


Linux

  1. システム管理者になる前に知っておきたい5つのこと

  2. VENOMセキュリティの脆弱性とは何ですか?

  3. Linux または Windows - セキュリティの問題

  1. JiraとConfluenceで管理者セキュリティパスワードの確認を無効にする

  2. Apache、Dovecot、PostfixでのSSLセキュリティの強化

  3. Python でオペレーティング システムを確認するにはどうすればよいですか?

  1. CassandraとMongoDB-違いは何ですか?

  2. LinuxでNMAPセキュリティスキャナーを使用する方法

  3. platform.linux_distribution() 非推奨 - 代替手段は何ですか?