GNU/Linux >> Linux Esercitazione >  >> Linux

The Hive (piattaforma di risposta agli incidenti di sicurezza)

Questa pagina è una guida passo passo all'installazione e alla configurazione per ottenere un'istanza di TheHive 4 attiva e funzionante. Questa guida è illustrata con esempi per i sistemi basati su pacchetti Debian e per l'installazione da pacchetti binari.

Macchina virtuale Java

apt-get install -y openjdk-8-jre-headless
echo JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64" >> /etc/environment
export JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

Nota

TheHive può essere caricato da Java 11, ma non dalla versione stabile di Cassandra, che richiede ancora Java 8. Se imposti un cluster per il database distinto dai server TheHive:

  • I nodi Cassandra possono essere caricati da Java 8
  • I nodi TheHive possono essere caricati da Java 11

Per i server standalone, con TheHive e Cassandra sullo stesso sistema operativo, consigliamo di avere solo Java 8 installato per entrambe le applicazioni.

Database Cassandra

Apache Cassandra è un database scalabile e ad alta disponibilità. TheHive supporta l'ultima versione stabile 3.11.x di Cassandra.

Installa dal repository

Aggiungi riferimenti al repository Apache

curl -fsSL https://www.apache.org/dist/cassandra/KEYS | sudo apt-key add -
echo "deb http://www.apache.org/dist/cassandra/debian 311x main" | sudo tee -a /etc/apt/sources.list.d/cassandra.sources.list

Installa il pacchetto

sudo apt update
sudo apt install cassandra

Per impostazione predefinita, i dati vengono archiviati in /var/lib/cassandra .

Configurazione

Inizia modificando il cluster_name con thp . Esegui il comando cqlsh :

cqlsh localhost 9042
cqlsh> UPDATE system.local SET cluster_name = 'thp' where key='local';

Esci e quindi esegui:

nodetool flush

Configura Cassandra modificando /etc/cassandra/cassandra.yaml file.

# content from /etc/cassandra/cassandra.yaml

cluster_name: 'thp'
listen_address: 'xx.xx.xx.xx' # address for nodes
rpc_address: 'xx.xx.xx.xx' # address for clients
seed_provider:
    - class_name: org.apache.cassandra.locator.SimpleSeedProvider
      parameters:
          # Ex: "<ip1>,<ip2>,<ip3>"
          - seeds: 'xx.xx.xx.xx' # self for the first node
data_file_directories:
  - '/var/lib/cassandra/data'
commitlog_directory: '/var/lib/cassandra/commitlog'
saved_caches_directory: '/var/lib/cassandra/saved_caches'
hints_directory: 
  - '/var/lib/cassandra/hints'

Quindi riavvia il servizio:

service cassandra restart

Per impostazione predefinita, Cassandra è in ascolto su 7000/tcp (internodo), 9042/tcp (cliente).

Archiviazione file

File caricati in TheHive (nei log delle attività o in osservabili ) possono essere archiviati in localsystem, in un filesystem Hadoop (consigliato) o nel database del grafico.

Per i server di produzione e test autonomi, si consiglia di utilizzare il filesystem locale. Se pensi di creare un cluster con TheHive, hai diverse soluzioni possibili:utilizzare Hadoop o servizi S3.

Questa opzione è perfetta per i server standalone . Se intendi creare un cluster per la tua istanza di TheHive 4 ti consigliamo:

  • utilizzando una condivisione NFS, comune a tutti i nodi
  • dando un'occhiata alle soluzioni di archiviazione che implementano S3 o HDFS.

Per archiviare i file sul filesystem locale, inizia scegliendo la cartella dedicata:

mkdir -p /opt/thp/thehive/files

Questo percorso verrà utilizzato nella configurazione dell'applicazione.

Successivamente, dopo aver installato TheHive, assicurati che l'utente sia thehive possiede il percorso scelto per la memorizzazione dei file:

chown -R thehive:thehive /opt/thp/thehive/files

L'alveare

Questa parte contiene le istruzioni per installare The Hive e quindi configurarlo.

TheHive4 non può essere installato sullo stesso server delle versioni precedenti. Consigliamo di installarlo su un nuovo server, soprattutto se è prevista una migrazione

Installazione

Tutti i pacchetti sono pubblicati nel nostro repository di pacchetti. . La sua impronta digitale è 0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C .

curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -

L'hive rilascia anche la versione stabile e beta delle applicazioni.

Versioni stabili

echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Versioni beta

echo 'deb https://deb.thehive-project.org beta main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Ti consigliamo di utilizzare o giocare con la versione Beta solo a scopo di test.

Configurazione

Per avviare correttamente l'app sono necessarie le seguenti configurazioni:

  • Configurazione chiave segreta
  • Configurazione database
  • Configurazione archivio file

Configurazione chiave segreta

The secret key is automatically generated and stored in /etc/thehive/secret.conf by package installation script.

Banca dati

Per utilizzare il database Cassandra, il file di configurazione di TheHive (/etc/thehive/application.conf ) deve essere modificato e aggiornato con le seguenti righe:

db {
  provider: janusgraph
  janusgraph {
    storage {
      backend: cql
      hostname: ["127.0.0.1"] # seed node ip addresses
      #username: "<cassandra_username>"       # login to connect to database (if configured in Cassandra)
      #password: "<cassandra_passowrd"
      cql {
        cluster-name: thp       # cluster name
        keyspace: thehive           # name of the keyspace
        local-datacenter: datacenter1   # name of the datacenter where TheHive runs (relevant only on multi datacenter setup)
        # replication-factor: 2 # number of replica
        read-consistency-level: ONE
        write-consistency-level: ONE
      }
    }
  }
}

Filesystem

1:If you chose to store files on the local filesystem:

Ensure permission of the folder


chown -R thehive:thehive /opt/thp/thehive/files
2: add following lines to TheHive configuration file (https://1118798822.rsc.cdn77.org/etc/thehive/application.conf)


## Storage configuration
storage {
provider = localfs
localfs.location = /opt/thp/thehive/files
}

Corri

Salva il file di configurazione ed esegui il servizio:

service thehive start

Tieni presente che l'avvio del servizio potrebbe richiedere del tempo. Una volta avviato, puoi avviare il browser e connetterti a http://YOUR_SERVER_ADDRESS:9000/ .

Sito web dell'applicazione


Linux

  1. Disabilitazione della conferma della password di sicurezza dell'amministratore in Jira e Confluence

  2. Rafforzamento della sicurezza SSL in Apache, Dovecot e Postfix

  3. Qual è la vulnerabilità di sicurezza di VENOM?

  4. Come posso controllare il sistema operativo in Python?

  5. Linux o Windows:il problema della sicurezza

Come installare la piattaforma collaborativa per prendere appunti Etherpad su Linux

Come installare la piattaforma di gestione end-to-end ManageEngine OpManager su Linux

Come installare la piattaforma di analisi web Matomo su Ubuntu Server 20.04

Come installare il database Apache Cassandra NoSQL su AlmaLinux 8

I 20 migliori strumenti di sicurezza per Linux:la scelta dell'esperto di Linux

Gli 8 migliori telefoni sicuri Linux per la privacy e la sicurezza