Установка на Debian

Приветствую читателей во второй статье цикла "MaxPatrol VM Getting Started". Сегодня мы установим и настроим MaxPatrol VM на виртуальную машину.

Тестовый стенд будет состоять из сервера на ОС Debian 10 со следующими компонентами:

• Core
• KB
• MC

Также мы установим компонент UCS на этот же сервер для обновления вышеуказанных компонентов. Агент будет установлен на отдельный сервер на ОС Windows 2012.

Аппаратные требования представлены в Таблице 1.

Таблица 1. MP 10 Core, PT MC, Knowledge Base и UCS

Для сервера суммарно нужно 32 логических ядра. В аппаратных требованиях к центральному процессору указано минимальное количество логических ядер. Если сервер гипервизора использует технологию Hyperthreading, виртуальной машине достаточно выделить вдвое меньше физических ядер. Если технология Hyperthreading не используется, количество выделенных физических ядер должно быть равно количеству логических. Например, если виртуальной машине требуется 32 логических ядра и сервер гипервизора использует технологию Hyperthreading, виртуальной машине достаточно выделить два процессора по 8 ядер каждый, либо один на 16.

Для работы виртуальной машины рекомендуется зарезервировать постоянный объем
оперативной памяти, установив в блоке параметров Resources Allocation флажок Reserve all guest memory (All locked).

При создании виртуального жесткого диска на шаге Create a Disk в блоке параметров Disk Provisioning рекомендуется выбрать вариант Thick Provision Eager Zeroed, на шаге Advanced Options в блоке параметров Mode рекомендуется установить флажок Independent, а затем выбрать вариант Persistent.

Проверьте, что в ОС Debian прописаны репозитории в source.list (/etc/apt/sources.list).

У нас были прописаны следующие sources:

deb http://deb.debian.org/debian buster main
deb-src http://deb.debian.org/debian buster main

deb http://deb.debian.org/debian-security/ buster/updates main
deb-src http://deb.debian.org/debian-security/ buster/updates main

deb http://deb.debian.org/debian buster-updates main
deb-src http://deb.debian.org/debian buster-updates main

Запустился установщик, а вот после этого возникла проблема с установкой пакета на этапе установки роли. Для корректной установки необходимо проверить наличие/добавить еще sources:

deb http://deb.debian.org/debian buster main contrib non-free
deb-src http://deb.debian.org/debian buster main contrib non-free

deb http://deb.debian.org/debian buster-updates main contrib non-free
deb-src http://deb.debian.org/debian buster-updates main contrib non-free

deb http://deb.debian.org/debian buster-backports main contrib non-free
deb-src http://deb.debian.org/debian buster-backports main contrib non-free

deb http://security.debian.org/debian-security/ buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security/ buster/updates main contrib non-free

Не забудьте выполнить apt update && apt upgrade.

Для удобства контроля процессы установки рекомендуем установить следующие пакеты:

openssh-server
net-tools

Роль является базовой единицей развертывания на Linux и представляет собой
совокупность служб, утилит и сценариев, обеспечивающих работу определенного набора функций системы. Каждая роль поставляется в виде отдельного архива, который может содержать как Docker-образы, так и deb-пакеты. При развертывании системы создаются экземпляры ролей, которые распределяются по приложениям определенного типа (Management and Configuration, Knowledge Base или MaxPatrol 10). Такая архитектура позволяет гибко и удобно развертывать систему, а также обновлять и настраивать ее в дальнейшем.

Тип приложения определяется составом входящих в него экземпляров ролей:
— приложение Management and Configuration содержит только роли SqlStorage и
Management and Configuration;
— приложение Knowledge Base — только роль Knowledge Base;
— приложение MaxPatrol 10 — только роли Core, RMQ Message Bus и Agent.

Управление развертыванием обеспечивает роль Deployer, которая построена на базе программного обеспечения SaltStack. Его модуль Salt Master обеспечивает общее управление установкой (созданием экземпляров) ролей, модули Salt Minion — установку ролей на каждый сервер системы.

При развертывании необходимо придерживаться следующего порядка действий:

1. Установка роли Deployer.
2. Установка компонента PT MC.
3. Установка компонента Knowledge Base.
4. Установка компонента MP 10 Core.
5. Активация лицензии.
6. Установка компонента MP 10 Agent.
7. Установка компонента PT UCS.

Компонент PT UCS и роль Deployer необходимо устанавливать на один сервер.

Чтобы установить роль:

1. Если на сервере PT MC есть файл

/etc/salt/pki/minion/minion_master.pub,

Удалите его:

rm /etc/salt/pki/minion/minion_master.pub

2. Распакуйте архив pt_Deployer_<Номер версии>.tar.gz:

tar -xf pt_Deployer_<Номер версии>.tar.gz

3. Запустите сценарий:

pt_Deployer_<Номер версии>/install.sh

4. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов. По завершении подготовки откроется окно с текстом лицензионного соглашения.

5. Ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

Откроется окно для проверки и изменения параметров установки.

6. Выберите вариант Basic configuration.

7. Откроется страница со списком основных параметров.

В качестве значения параметра HostAddress укажите IP-адрес или FQDN сервера, на который устанавливается роль Deployer.

8. Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

9. Нажмите кнопку ОК.

Скопируйте файл /opt/deployer/pki/CAbundle.crt на сервер MP 10 Core.

На сервере MP 10 Core выполните команду:

rabbitmqcfg set -p CACertFile <Путь к файлу CAbundle.crt> -v

1. На сервере MP 10 Core распакуйте архив pt_SqlStorage_<Номер версии>.tar.gz:

tar -xf SqlStorage_<Номер версии>.tar.gz

2. Запустите сценарий:

SqlStorage_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант Create New Application.

5. В открывшемся окне введите идентификатор приложения Management and Configuration и нажмите кнопку OK.

6. В окне Instance selection выберите вариант Deploy New Instance.

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

8. В открывшемся окне введите название экземпляра роли SqlStorage и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

10. В качестве значения параметра HostAddress укажите IP-адрес или FQDN сервера MP 10 Core.

11. Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

12. Нажмите кнопку ОК.

Роль установлена.

Для установки роли вам потребуется архив pt_ManagementAndConfiguration_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив ManagementAndConfiguration_<Номер версии>.tar.gz:

tar -xf ManagementAndConfiguration_<Номер версии>.tar.gz

2. Запустите сценарий:

ManagementAndConfiguration_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант c идентификатором приложения Management and Configuration.

5. В окне Instance selection выберите вариант Deploy New Instance.

6. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

7. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

8. В открывшемся окне введите название экземпляра роли Management and Configuration и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

10. В качестве значения параметров HostAddress и PostgreHost укажите IP-адрес или FQDN сервера MP 10 Core.

В качестве значения параметра DefaultLocale выберите язык веб-интерфейса приложения Management and Configuration.

Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

11. Нажмите кнопку ОК.

Роль установлена.

Компонент Knowledge Base устанавливается с помощью роли Knowledge Base. Для установки роли вам потребуется архив KB_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив KB_<Номер версии>.tar.gz:

tar -xf KB_<Номер версии>.tar.gz

2. Запустите сценарий:

KB_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант Create New Application

5. В открывшемся окне введите идентификатор приложения Knowledge Base и нажмите кнопку OK.

6. В окне Instance selection выберите вариант Deploy New Instance.

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

8. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

9. В открывшемся окне введите название экземпляра роли Knowledge Base и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

10. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

11. В качестве значения параметра DefaultLocale выберите желаемый язык интерфейса приложения Knowledge Base.

Укажите значения параметров:
HostAddress: <IP-адрес или FQDN сервера MP 10 Core>
PostgreHost: <IP-адрес или FQDN сервера MP 10 Core>
MCAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:3334
CoreAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:443

Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

12. Нажмите кнопку ОК.

Роль установлена.

Для установки роли вам потребуется архив RmqMessagebus_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив RmqMessagebus_<Номер версии>.tar.gz:

tar -xf RmqMessagebus_<Номер версии>.tar.gz

2. Запустите сценарий:

RmqMessagebus_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант Create New Application.

5. В открывшемся окне введите идентификатор приложения MaxPatrol 10 и нажмите кнопку OK.

6. В окне Instance selection выберите вариант Deploy New Instance.

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

8. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

9. В открывшемся окне введите название экземпляра роли RMQ Message Bus и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

10. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

11. В качестве значения параметра HostAddress укажите IP-адрес или FQDN сервера MP 10 Core.

12. Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

13. Нажмите кнопку ОК.

Роль установлена.

Для установки роли вам потребуется архив Core_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив Core_<Номер версии>.tar.gz:

tar -xf Core_<Номер версии>.tar.gz

2. Запустите сценарий:

Core_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант c идентификатором приложения MaxPatrol 10.

5. В окне Instance selection выберите вариант Deploy New Instance.

6. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

7. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

8. В открывшемся окне введите название экземпляра роли Core и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

10. В качестве значения параметра DefaultLocale выберите желаемый язык веб-интерфейса приложения MaxPatrol 10.

Укажите значения параметров:
HostAddress: <IP-адрес или FQDN сервера MP 10 Core>
MCAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:3334
KBAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:8091
PostgreHost: <IP-адрес или FQDN сервера MP 10 Core>
RMQHost: <IP-адрес или FQDN сервера MP 10 Core>

Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

11. Нажмите кнопку ОК.

Роль установлена.

На этом этапе можем зайти по указанному IP-адресу и проверить, что система доступна через веб-интерфейс.

Чтобы активировать лицензию:

1. На сервер MP 10 Core в каталог /var/lib/deployed-roles/<Название приложения>/<Название экземпляра роли Core>/data/licensing скопируйте шаблон ключа <Номер лицензии>.grdvd и текстовый файл с серийным номером <Идентификатор ключа>.txt.

2. Запустите активацию лицензии от имени суперпользователя (root):

docker exec -it $(docker ps | awk '/licensing/ {print $NF}') /usr/local/bin/guardantutils/grdspactivation /var/lib/microservice/<Номер лицензии>.grdvd /serialfile=/var/lib/microservice/<Идентификатор ключа>.txt

По завершении активации появится сообщение License activation Succeeded.

Лицензия активирована.

3. После активации лицензии необходимо перезапустить службы компонентов MP 10 Core и Knowledge Base с помощью команды:

docker restart $(docker ps | awk '/core-|kb-/ {print $NF}')

Затем выйти из системы и заново войти.

4. Проверим через веб-интерфейс, что сертификат применился, для этого зайдем в раздел меню Система - Управление системой в раздел "О системе".

Примечание: Кроме того, если MaxPatrol VM развертывается в средненагруженной, высоконагруженной или сверхнагруженной конфигурации, после активации лицензии необходимо перезапустить службу Core Events Aggregator на сервере MP SIEM Server с помощью команды docker restart $(docker ps | awk '/core-events-aggregator/ {print $NF}').

Для установки компонента MP 10 Agent на Microsoft Windows вам потребуется файл MPXAgentSetup_<Номер версии>.exe из комплекта поставки.

Если мастер установки предложит перезагрузить операционную систему, вам необходимо подтвердить перезагрузку. После перезагрузки установка будет продолжена автоматически.

Чтобы установить компонент MP 10 Agent:

1. Запустите файл MPXAgentSetup_<Номер версии>.exe. Откроется окно мастера установки.

2. Ознакомьтесь по ссылке с текстом лицензионного соглашения.

3. Установите флажок "Я принимаю условия лицензионного соглашения" и нажмите кнопку Продолжить.

4. Укажите пути для установки.

Если вы хотите установить компоненты в папки по умолчанию, не изменяйте значения полей.

5. Нажмите кнопку Продолжить.

6. В поле "Имя агента" введите имя агента, которое будет отображаться в интерфейсе MaxPatrol 10.

7. В поле "Адрес обработчика данных" укажите IP-адрес или FQDN сервера MP SIEM Server.

8. Нажмите кнопку Продолжить.

Мастер установки выполнит проверку указанных вами параметров и отобразит их после проверки.

По результатам проверки мастер может отображать сообщения о некорректных значениях указанных параметров. В этом случае вам необходимо вернуться, нажимая кнопку Назад, и указать корректные значения параметров.

9. Нажмите кнопку Установить.

10. По завершении установки нажмите кнопку Закрыть.

11. На сервере с установленной ролью Deployer выполните команды:

cp /opt/deployer/pki/legacy_ca/windows-selfsigned-default.pem /opt/deployer/pki/trusted_ca/

dpkg-reconfigure deployer

/opt/deployer/bin/Restart-Configuration.ps1 -RoleTypeId RmqMessageBus

12. Проверим через веб-интерфейс, что агент отображается в списке установленных агентов, для этого зайдем в раздел меню Система - Управление системой в раздел Агенты.

Компонент MP 10 Agent установлен.

Компонент PT Update and Configuration Service (далее также — PT UCS) — это сервис онлайн-обновления компонентов MaxPatrol VM. PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.

Для доставки компонентам новых версий PT UCS использует ПО SaltStack: модуль Salt Master находится на сервере PT UCS, модуль Salt Minion — на серверах компонентов MaxPatrol VM. PT UCS получает новые версии компонентов с глобального сервера обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.

Компонент PT UCS и роль Deployer необходимо устанавливать на один сервер.

Чтобы установить компонент PT UCS:

1. Распакуйте архив ucs-<Номер версии MaxPatrol 10>-debian<Номер версии Debian>.tar:

tar -xf ucs-<Номер версии MaxPatrol 10>-debian<Номер версии Debian>.tar -C <Путь к каталогу для распаковки архива>

2. Запустите сценарий:

<Путь к каталогу для распаковки архива>/siem-ucs-debian<Номер версии Debian>-<Номер версии MaxPatrol 10>/install.sh

Откроется окно UCS configuration.

3. Выберите вариант Skip и подтвердите установку компонента.

Запустится установка PT UCS. По завершении установки интерфейс терминала отобразит сообщение:

Done installing ucs-pt

Компонент PT UCS установлен. Дополнительная настройка не требуется.

4. Проверьте, что система подписана на обновления через UCS, выполнив следующую команду:

salt-key -L

Имя сервера VM прописана в Accepted Keys.

На этом статья подошла к концу. Мы развернули MaxPatrol VM на Debian с отдельным агентом на Windows, а также установили компонент UCS. В следующей статье рассмотрим веб-интерфейс VM и его возможности.

Автор: Игорь Ширяев, инженер TS Solution