GNU/Linux >> Tutoriales Linux >  >> Linux

The Hive (Plataforma de Respuesta a Incidentes de Seguridad)

Esta página es una guía de instalación y configuración paso a paso para poner en marcha una instancia de TheHive 4. Esta guía se ilustra con ejemplos para sistemas basados ​​en paquetes Debian y para la instalación desde paquetes binarios.

Máquina Virtual Java

apt-get install -y openjdk-8-jre-headless
echo JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64" >> /etc/environment
export JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

Nota

TheHive se puede cargar con Java 11, pero no con la versión estable de Cassandra, que aún requiere Java 8. Si configura un clúster para la base de datos distinto de los servidores de TheHive:

  • Java 8 puede cargar los nodos de Cassandra
  • Los nodos de TheHive se pueden cargar con Java 11

Para servidores independientes, con TheHive y Cassandra en el mismo sistema operativo, recomendamos tener solo Java 8 instalado para ambas aplicaciones.

Base de datos de Casandra

Apache Cassandra es una base de datos escalable y de alta disponibilidad. TheHive es compatible con la última versión estable 3.11.x de Casandra.

Instalar desde el repositorio

Añadir referencias al repositorio de Apache

curl -fsSL https://www.apache.org/dist/cassandra/KEYS | sudo apt-key add -
echo "deb http://www.apache.org/dist/cassandra/debian 311x main" | sudo tee -a /etc/apt/sources.list.d/cassandra.sources.list

Instalar el paquete

sudo apt update
sudo apt install cassandra

De forma predeterminada, los datos se almacenan en /var/lib/cassandra .

Configuración

Comience cambiando el cluster_name con thp . Ejecute el comando cqlsh :

cqlsh localhost 9042
cqlsh> UPDATE system.local SET cluster_name = 'thp' where key='local';

Salga y luego ejecute:

nodetool flush

Configure Cassandra editando /etc/cassandra/cassandra.yaml archivo.

# content from /etc/cassandra/cassandra.yaml

cluster_name: 'thp'
listen_address: 'xx.xx.xx.xx' # address for nodes
rpc_address: 'xx.xx.xx.xx' # address for clients
seed_provider:
    - class_name: org.apache.cassandra.locator.SimpleSeedProvider
      parameters:
          # Ex: "<ip1>,<ip2>,<ip3>"
          - seeds: 'xx.xx.xx.xx' # self for the first node
data_file_directories:
  - '/var/lib/cassandra/data'
commitlog_directory: '/var/lib/cassandra/commitlog'
saved_caches_directory: '/var/lib/cassandra/saved_caches'
hints_directory: 
  - '/var/lib/cassandra/hints'

Luego reinicie el servicio:

service cassandra restart

Por defecto Cassandra escucha en 7000/tcp (entre nodos), 9042/tcp (cliente).

Almacenamiento de archivos

Archivos cargados en TheHive (en registros de tareas o en observables ) se pueden almacenar en el sistema local, en un sistema de archivos Hadoop (recomendado) o en la base de datos de gráficos.

Para servidores de prueba y producción independientes, recomendamos utilizar un sistema de archivos local. Si piensas en construir un clúster con TheHive, tienes varias soluciones posibles:usar servicios de Hadoop o S3.

Esta opción es perfecta para servidores independientes . Si tiene la intención de crear un clúster para su instancia de TheHive 4, le recomendamos:

  • utilizando un recurso compartido NFS, común a todos los nodos
  • echar un vistazo a las soluciones de almacenamiento que implementan S3 o HDFS.

Para almacenar archivos en el sistema de archivos local, comience eligiendo la carpeta dedicada:

mkdir -p /opt/thp/thehive/files

Esta ruta se utilizará en la configuración de la aplicación.

Posteriormente, después de haber instalado TheHive, asegúrese de que el usuario thehive posee la ruta elegida para almacenar archivos:

chown -R thehive:thehive /opt/thp/thehive/files

La Colmena

Esta parte contiene instrucciones para instalar The Hive y luego configurarlo.

TheHive4 no se puede instalar en el mismo servidor que las versiones anteriores. Recomendamos instalarlo en un nuevo servidor, especialmente si se prevé una migración

Instalación

Todos los paquetes se publican en nuestro repositorio de paquetes. . Su huella digital es 0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C .

curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -

La colmena también lanzó una versión estable y beta de las aplicaciones.

Versiones estables

echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Versiones beta

echo 'deb https://deb.thehive-project.org beta main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Recomendamos usar o jugar con la versión Beta solo con fines de prueba.

Configuración

Se requieren las siguientes configuraciones para iniciar la aplicación correctamente:

  • Configuración de clave secreta
  • Configuración de la base de datos
  • Configuración de almacenamiento de archivos

Configuración de clave secreta

The secret key is automatically generated and stored in /etc/thehive/secret.conf by package installation script.

Base de datos

Para usar la base de datos de Cassandra, el archivo de configuración de TheHive (/etc/thehive/application.conf ) tiene que ser editado y actualizado con las siguientes líneas:

db {
  provider: janusgraph
  janusgraph {
    storage {
      backend: cql
      hostname: ["127.0.0.1"] # seed node ip addresses
      #username: "<cassandra_username>"       # login to connect to database (if configured in Cassandra)
      #password: "<cassandra_passowrd"
      cql {
        cluster-name: thp       # cluster name
        keyspace: thehive           # name of the keyspace
        local-datacenter: datacenter1   # name of the datacenter where TheHive runs (relevant only on multi datacenter setup)
        # replication-factor: 2 # number of replica
        read-consistency-level: ONE
        write-consistency-level: ONE
      }
    }
  }
}

Sistema de archivos

1:If you chose to store files on the local filesystem:

Ensure permission of the folder


chown -R thehive:thehive /opt/thp/thehive/files
2: add following lines to TheHive configuration file (https://1118798822.rsc.cdn77.org/etc/thehive/application.conf)


## Storage configuration
storage {
provider = localfs
localfs.location = /opt/thp/thehive/files
}

Corre

Guarde el archivo de configuración y ejecute el servicio:

service thehive start

Tenga en cuenta que el servicio puede tardar algún tiempo en iniciarse. Una vez que se inicia, puede iniciar su navegador y conectarse a http://YOUR_SERVER_ADDRESS:9000/ .

Sitio web de la aplicación


Linux

  1. Las 5 cosas que desearía haber sabido antes de convertirme en administrador de sistemas

  2. Deshabilitar la confirmación de la contraseña de seguridad del administrador en Jira y Confluence

  3. ¿Qué es la vulnerabilidad de seguridad de VENOM?

  4. platform.linux_distribution() en desuso:¿cuáles son las alternativas?

  5. Linux o Windows:el problema de la seguridad

Cómo instalar la plataforma de toma de notas colaborativa Etherpad en Linux

Cómo instalar la plataforma de administración integral ManageEngine OpManager en Linux

Cómo instalar la plataforma de analítica web Matomo en Ubuntu Server 20.04

Cómo instalar la base de datos Apache Cassandra NoSQL en AlmaLinux 8

Las 20 mejores herramientas de seguridad de Linux:la elección de los expertos de Linux

Los 8 mejores teléfonos Linux seguros para privacidad y seguridad