GNU/Linux >> LINUX-Kenntnisse >  >> Linux

The Hive (Plattform zur Reaktion auf Sicherheitsvorfälle)

Diese Seite ist eine Schritt-für-Schritt-Installations- und Konfigurationsanleitung, um eine TheHive 4-Instanz zum Laufen zu bringen. Diese Anleitung wird mit Beispielen für auf Debian-Paketen basierende Systeme und für die Installation aus Binärpaketen illustriert.

Java Virtual Machine

apt-get install -y openjdk-8-jre-headless
echo JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64" >> /etc/environment
export JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

Hinweis

TheHive kann von Java 11 geladen werden, aber nicht von der stabilen Version von Cassandra, die immer noch Java 8 erfordert. Wenn Sie einen Cluster für die Datenbank einrichten, der sich von TheHive-Servern unterscheidet:

  • Cassandra-Knoten können von Java 8 geladen werden
  • TheHive-Knoten können von Java 11 geladen werden

Für eigenständige Server mit TheHive und Cassandra auf demselben Betriebssystem empfehlen wir, für beide Anwendungen nur Java 8 zu installieren.

Cassandra-Datenbank

Apache Cassandra ist eine skalierbare und hochverfügbare Datenbank. TheHive unterstützt die neueste stabile Version 3.11.x von Kassandra.

Aus dem Repository installieren

Apache-Repository-Referenzen hinzufügen

curl -fsSL https://www.apache.org/dist/cassandra/KEYS | sudo apt-key add -
echo "deb http://www.apache.org/dist/cassandra/debian 311x main" | sudo tee -a /etc/apt/sources.list.d/cassandra.sources.list

Installieren Sie das Paket

sudo apt update
sudo apt install cassandra

Standardmäßig werden Daten in /var/lib/cassandra gespeichert .

Konfiguration

Beginnen Sie mit der Änderung des cluster_name mit thp . Führen Sie den Befehl cqlsh aus :

cqlsh localhost 9042
cqlsh> UPDATE system.local SET cluster_name = 'thp' where key='local';

Beenden und dann ausführen:

nodetool flush

Konfigurieren Sie Cassandra, indem Sie /etc/cassandra/cassandra.yaml bearbeiten Datei.

# content from /etc/cassandra/cassandra.yaml

cluster_name: 'thp'
listen_address: 'xx.xx.xx.xx' # address for nodes
rpc_address: 'xx.xx.xx.xx' # address for clients
seed_provider:
    - class_name: org.apache.cassandra.locator.SimpleSeedProvider
      parameters:
          # Ex: "<ip1>,<ip2>,<ip3>"
          - seeds: 'xx.xx.xx.xx' # self for the first node
data_file_directories:
  - '/var/lib/cassandra/data'
commitlog_directory: '/var/lib/cassandra/commitlog'
saved_caches_directory: '/var/lib/cassandra/saved_caches'
hints_directory: 
  - '/var/lib/cassandra/hints'

Starten Sie dann den Dienst neu:

service cassandra restart

Standardmäßig lauscht Cassandra auf 7000/tcp (knotenübergreifend), 9042/tcp (Kunde).

Dateispeicherung

In TheHive hochgeladene Dateien (in Aufgabenprotokollen oder in Observables ) kann im lokalen System, in einem Hadoop-Dateisystem (empfohlen) oder in der Graph-Datenbank gespeichert werden.

Für eigenständige Produktions- und Testserver empfehlen wir die Verwendung eines lokalen Dateisystems. Wenn Sie darüber nachdenken, einen Cluster mit TheHive zu erstellen, haben Sie mehrere mögliche Lösungen:die Verwendung von Hadoop- oder S3-Diensten .

Diese Option ist perfekt für eigenständige Server . Wenn Sie beabsichtigen, einen Cluster für Ihre Instanz von TheHive 4 zu erstellen, empfehlen wir:

  • unter Verwendung einer NFS-Freigabe, die allen Knoten gemeinsam ist
  • einen Blick auf Speicherlösungen werfen, die S3 oder HDFS implementieren.

Um Dateien im lokalen Dateisystem zu speichern, wählen Sie zunächst den entsprechenden Ordner:

mkdir -p /opt/thp/thehive/files

Dieser Pfad wird in der Konfiguration der Anwendung verwendet.

Stellen Sie später, nachdem Sie TheHive installiert haben, den Benutzer thehive sicher besitzt den zum Speichern von Dateien gewählten Pfad:

chown -R thehive:thehive /opt/thp/thehive/files

TheHive

Dieser Teil enthält Anweisungen zur Installation und anschließenden Konfiguration von The Hive.

TheHive4 kann nicht auf demselben Server wie ältere Versionen installiert werden. Wir empfehlen die Installation auf einem neuen Server, insbesondere wenn eine Migration vorgesehen ist

Installation

Alle Pakete werden in unserem Paket-Repository veröffentlicht. . Sein Fingerabdruck ist 0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C .

curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -

The Hive veröffentlicht auch stabile und Beta-Versionen der Anwendungen.

Stabile Versionen

echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Beta-Versionen

echo 'deb https://deb.thehive-project.org beta main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Wir empfehlen, die Beta-Version nur zu Testzwecken zu verwenden oder damit zu spielen.

Konfiguration

Folgende Konfigurationen sind erforderlich, um die App erfolgreich zu starten:

  • Geheimschlüsselkonfiguration
  • Datenbankkonfiguration
  • Dateispeicherkonfiguration

Geheime Schlüsselkonfiguration

The secret key is automatically generated and stored in /etc/thehive/secret.conf by package installation script.

Datenbank

Um die Cassandra-Datenbank zu verwenden, muss die TheHive-Konfigurationsdatei (/etc/thehive/application.conf ) muss bearbeitet und mit folgenden Zeilen aktualisiert werden:

db {
  provider: janusgraph
  janusgraph {
    storage {
      backend: cql
      hostname: ["127.0.0.1"] # seed node ip addresses
      #username: "<cassandra_username>"       # login to connect to database (if configured in Cassandra)
      #password: "<cassandra_passowrd"
      cql {
        cluster-name: thp       # cluster name
        keyspace: thehive           # name of the keyspace
        local-datacenter: datacenter1   # name of the datacenter where TheHive runs (relevant only on multi datacenter setup)
        # replication-factor: 2 # number of replica
        read-consistency-level: ONE
        write-consistency-level: ONE
      }
    }
  }
}

Dateisystem

1:If you chose to store files on the local filesystem:

Ensure permission of the folder


chown -R thehive:thehive /opt/thp/thehive/files
2: add following lines to TheHive configuration file (https://1118798822.rsc.cdn77.org/etc/thehive/application.conf)


## Storage configuration
storage {
provider = localfs
localfs.location = /opt/thp/thehive/files
}

Laufen

Konfigurationsdatei speichern und Dienst ausführen:

service thehive start

Bitte beachten Sie, dass der Start des Dienstes einige Zeit in Anspruch nehmen kann. Sobald es gestartet ist, können Sie Ihren Browser starten und sich mit http://YOUR_SERVER_ADDRESS:9000/ verbinden .

Bewerbungswebsite


Linux

  1. Die 5 Dinge, die ich gerne gewusst hätte, bevor ich Systemadministrator wurde

  2. Deaktivieren der Bestätigung des Admin-Sicherheitspassworts in Jira und Confluence

  3. Härtung der SSL-Sicherheit in Apache, Dovecot und Postfix

  4. Was ist die VENOM-Sicherheitslücke?

  5. Wie überprüfe ich das Betriebssystem in Python?

So installieren Sie die kollaborative Notizplattform Etherpad unter Linux

So installieren Sie die End-to-End-Verwaltungsplattform ManageEngine OpManager unter Linux

So installieren Sie die Webanalyseplattform Matomo auf Ubuntu Server 20.04

So installieren Sie die Apache Cassandra NoSQL-Datenbank auf AlmaLinux 8

Die 20 besten Linux-Sicherheitstools:Die Wahl des Linux-Experten

Die 8 besten sicheren Linux-Telefone für Datenschutz und Sicherheit