15 ноября 2023
Знакомство с PT Sandbox
Статья 2. Установка и первоначальная настройка
Приветствуем вас во второй статье цикла, посвященного продукту PT Sandbox.
В прошлом материале мы познакомились с классом решений «песочницы» а также узнали преимущества решения, предлагаемого компанией Positive Technologies.
В этой статье мы произведём установку PT Sandbox на виртуальную машину и познакомимся с веб-интерфейсом продукта.
Рассмотрим процесс установки решения:
PT Sandbox можно настроить в двух конфигурациях:
Аппаратные требования для ВМ представлены в Таблице 1
В прошлом материале мы познакомились с классом решений «песочницы» а также узнали преимущества решения, предлагаемого компанией Positive Technologies.
В этой статье мы произведём установку PT Sandbox на виртуальную машину и познакомимся с веб-интерфейсом продукта.
Рассмотрим процесс установки решения:
- Описание стенда
PT Sandbox можно настроить в двух конфигурациях:
- Односерверная конфигурация. Работает на одном узле, который может быть физическим сервером или виртуальной машиной, и используется в том случае, когда ресурсов одного узла достаточно для проверки файлов с приемлемой скоростью;
- Многосерверная конфигурация. Продукт работает на нескольких узлах, которые также могут быть физическими серверами или виртуальными машинами. Основной узел устанавливается первым, а любой узел, установленный после этого, считается дополнительным. Многосерверная конфигурация позволяет ускорить проведение поведенческого анализа за счет распределения задач между несколькими узлами и увеличения количества потоков проверки.
Аппаратные требования для ВМ представлены в Таблице 1
Данная конфигурация позволяет работу поведенческого анализа не более чем в двух одновременно запущенных ВМ.
2. Установка и подготовка хостовой ОС
При установке PT Sandbox на ВМ перед установкой гостевой ОС необходимо в настройках включить «аппаратную поддержку виртуализации».
Пример настройки для гипервизора VMWare eSXI можно увидеть на рисунке 1.
2. Установка и подготовка хостовой ОС
При установке PT Sandbox на ВМ перед установкой гостевой ОС необходимо в настройках включить «аппаратную поддержку виртуализации».
Пример настройки для гипервизора VMWare eSXI можно увидеть на рисунке 1.
Рисунок 1
Необходимо также назначить статический ip-адрес. Либо, если в сети используется DHCP, закрепить адрес за узлом с PT Sandbox:
Это можно сделать и после завершения установки ОС.
При установке операционной системы важно уделить внимание правильной разметке дискового пространства. Разделы с системными данными и программными модулями PT Sandbox рекомендуется создавать на твердотельном накопителе, а разделы с хранилищем файлов и пользовательскими файлами – на жестком диске.
В нашем случае разметка будет следующей:
При установке операционной системы важно уделить внимание правильной разметке дискового пространства. Разделы с системными данными и программными модулями PT Sandbox рекомендуется создавать на твердотельном накопителе, а разделы с хранилищем файлов и пользовательскими файлами – на жестком диске.
В нашем случае разметка будет следующей:
Важно: при установке НЕ создавать раздел или файл подкачки, иначе PT Sandbox не сможет быть установлен.
Вы можете самостоятельно рассчитать размеры файловых систем в зависимости от количества образов виртуальных машин, доступных по вашей лицензии, воспользовавшись формулами:
X = (N + 1) × 15 + M
Y = N × 16 + 50,
где:
3. Проверка готовности ОС к установке продукта
В операционной системе, установленной на ВМ, необходимо проверить доступность серверов обслуживания компании Positive Technologies. Поскольку в процессе установки, обновления и проверки лицензии PT Sandbox может обращаться к ним.
Кроме того, необходимо убедиться в доступности репозиториев ОС, из которых будут подгружаться программные пакеты.
Чтобы проверить доступ к серверам обслуживания PT Sandbox:
Вы можете самостоятельно рассчитать размеры файловых систем в зависимости от количества образов виртуальных машин, доступных по вашей лицензии, воспользовавшись формулами:
X = (N + 1) × 15 + M
Y = N × 16 + 50,
где:
- X — размер файловой системы с программными модулями PT Sandbox в ГиБ;
- Y — минимальный размер файловой системы с хранилищем файлов в ГиБ;
- N — количество образов виртуальных машин (т.е. количество различных ОС, в которых будут проверяться файлы);
- M — в односерверной конфигурации и для основного узла в многосерверной конфигурации — 45, для дополнительных узлов — 0
3. Проверка готовности ОС к установке продукта
В операционной системе, установленной на ВМ, необходимо проверить доступность серверов обслуживания компании Positive Technologies. Поскольку в процессе установки, обновления и проверки лицензии PT Sandbox может обращаться к ним.
Кроме того, необходимо убедиться в доступности репозиториев ОС, из которых будут подгружаться программные пакеты.
Чтобы проверить доступ к серверам обслуживания PT Sandbox:
- Проверим подключение к поддоменам сайта Positive Technologies с помощью команды wget -Sq -O /dev/null https://update.ptsecurity.com/test :
2.Проверим подключение к поддомену update-registry командой wget -Sq -O /dev/null https://update-registry.ptsecurity.com/test :
Оба ответа должны начинаться с строки HTTP/1.1 200 OK: это сигнализирует о доступности ресурсов.
Для того чтобы проверить доступность репозиториев, можно выполнить команду apt update:
Для того чтобы проверить доступность репозиториев, можно выполнить команду apt update:
Из отсутствия сообщений о проблемах с соединением можно сделать вывод, что проблем с доступом к репозиториям нет.
Для удобства управления ВМ советуем также установить пакет openssh-server.
Все необходимые доступы обеспечены, можно приступать к установке самого продукта.
Установка
Установка PT Sandbox производится из специального архива, который необходимо загрузить в подготовленную ОС. Для этого можно воспользоваться утилитой WinSCP или каким-либо её аналогом.
После загрузки архива необходимо перейти в директорию и распаковать его командой tar pxf ptsb.installer.*.tar.gz:
Для удобства управления ВМ советуем также установить пакет openssh-server.
Все необходимые доступы обеспечены, можно приступать к установке самого продукта.
Установка
Установка PT Sandbox производится из специального архива, который необходимо загрузить в подготовленную ОС. Для этого можно воспользоваться утилитой WinSCP или каким-либо её аналогом.
После загрузки архива необходимо перейти в директорию и распаковать его командой tar pxf ptsb.installer.*.tar.gz:
Установка продукта в конфигурации AiO делится на две части: установка виртуального окружения и установка непосредственно PT Sandbox.
Для установки виртуального окружения необходимо:
Если добавить к команде параметр --get-max-vm, то в выводе будет указано, какое максимальное количество виртуальных машин сможет работать на данном устройстве:
Для установки виртуального окружения необходимо:
- Проверить сервер или виртуальную машину на соответствие минимальным системным требованиям для выполнения на них поведенческого анализа с помощью команды xen/check-system-requirements.sh.
Если добавить к команде параметр --get-max-vm, то в выводе будет указано, какое максимальное количество виртуальных машин сможет работать на данном устройстве:
2. Убедившись, что для данной машины можно установить PT Sandbox с двумя одновременно работающими ВМ, запустим скрипт установки гипервизора с помощью команды xen/install.sh --vm-count 2:
- по завершению работы скрипта установки появится надпись Press [Enter] to reboot. После нажатия на клавишу Enter виртуальная машина перезагрузится.
Когда система перезагрузится, мы сможем перейти к установке самого продукта PT Sandbox. Для этого нам необходимо перейти в папку с распакованным установщиком и запустить скрипт установки командой ./wizard:
Далее, следуя указаниям, выбираем язык установщика и вариант загрузки обновлений продукта, после чего необходимо будет ввести ключ лицензии, а также кластерный IP адрес (при необходимости):
Скрипт проверит ключ, а затем выведет выбранную конфигурацию и попросит подтверждения начала установки:
Вводим букву “y” и установка начинается. Скрипт загрузит необходимые для работы пакеты, после чего начнется загрузка компонентов продукта.
PT Sandbox представляет собой приложение, построенное на микросервисной архитектуре. Оно включает в себя множество компонентов, отвечающих за отдельные функции. Организовано это с помощью средства контейниризации Docker, а также средства оркестрации Kubernetes. Именно с помощью интерфейса этой системы происходит управление компонентами PT Sandbox.
После установки необходимых программных пакетов скрипт начнет загрузку подов (pod) сущностей, которые относятся к Kubernetes.
Под это абстрактный объект Kubernetes, представляющий собой группу из одного или нескольких контейнеров приложения (например, Docker или rkt) и совместно используемых ресурсов для этих контейнеров.
PT Sandbox представляет собой приложение, построенное на микросервисной архитектуре. Оно включает в себя множество компонентов, отвечающих за отдельные функции. Организовано это с помощью средства контейниризации Docker, а также средства оркестрации Kubernetes. Именно с помощью интерфейса этой системы происходит управление компонентами PT Sandbox.
После установки необходимых программных пакетов скрипт начнет загрузку подов (pod) сущностей, которые относятся к Kubernetes.
Под это абстрактный объект Kubernetes, представляющий собой группу из одного или нескольких контейнеров приложения (например, Docker или rkt) и совместно используемых ресурсов для этих контейнеров.
По завершению загрузки скрипт выдаст сообщение об успешном завершении установки продукта:
PT Sandbox установлен. Это можно проверить, зайдя на его веб-интерфейс, указав в адресной строке браузера ip-адрес виртуальной машины:
После чего необходимо активировать функцию поведенческого анализа.
Для этого командой sudo ptmsctl sandbox nodes list получим список всех узлов PT Sandbox с информацией о готовности функции поведенческого анализа на каждом из них:
Для этого командой sudo ptmsctl sandbox nodes list получим список всех узлов PT Sandbox с информацией о готовности функции поведенческого анализа на каждом из них:
В нашем случае узел один, и функция поведенческого анализа на нем доступна.
Далее выполним команду «sudo ptmsctl sandbox nodes acquire <Название узла (hostname), , на котором нужно включить функцию поведенческого анализа>» для активации функции поведенческого анализа на этом узле
Далее выполним команду «sudo ptmsctl sandbox nodes acquire <Название узла (hostname), , на котором нужно включить функцию поведенческого анализа>» для активации функции поведенческого анализа на этом узле
И запустим процесс скачивания и установки образов виртуальных машин командой sudo ptmsctl sandbox force-generate-images
Заключение
По итогу второй статьи цикла про PT Sandbox: мы изучили процесс установки и успешно установили продукт на виртуальную машину в односерверном исполнении.
Оставайтесь с нами: в следующем материале мы познакомимся с веб-интерфейсом данной системы и ее возможностями, а также рассмотрим основные настройки продукта.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution
По итогу второй статьи цикла про PT Sandbox: мы изучили процесс установки и успешно установили продукт на виртуальную машину в односерверном исполнении.
Оставайтесь с нами: в следующем материале мы познакомимся с веб-интерфейсом данной системы и ее возможностями, а также рассмотрим основные настройки продукта.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution