MaxPatrol SIEM Getting Started

Приветствуем читателей во второй статье курса «MaxPatrol SIEM Getting Started»!

Сегодня мы с вами изучим процессы подготовки ОС и виртуальных машин к установке, узнаем о нюансах активации лицензий и компонентах решения. А также начнём проводить установку и настройку MaxPatrol SIEM на виртуальную машину.


Описание тестового стенда

Тестовый стенд будет состоять из сервера на ОС Debian 10 со следующими компонентами:

• Core
• MC
• KB
• SIEM Server
• SIEM Events Storage

Также мы установим компонент UCS на этот же сервер для обновления вышеуказанных компонентов. Коллектор будет установлен на отдельный сервер ОС Windows 2012.

Аппаратные требования представлены в Таблице 1:

В аппаратных требованиях к центральному процессору указано минимальное количество логических ядер. Для сервера суммарно требуется 24 логических ядра.

Если сервер гипервизора использует технологию Hyperthreading: виртуальной машине достаточно выделить вдвое меньше физических ядер. Если технология Hyperthreading не используется, то количество выделенных физических ядер должно быть равно количеству логических.

Например: если виртуальной машине требуется 24 логических ядра и сервер гипервизора использует технологию Hyperthreading, виртуальной машине достаточно выделить два процессора по 6 ядер каждый либо один на 12.

Для работы виртуальной машины рекомендуется зарезервировать постоянный объем оперативной памяти, установив в блоке параметров «Resources Allocation» флажок «Reserve all guest memory (All locked)».

При создании виртуального жесткого диска на шаге «Create a Disk» в блоке параметров «Disk Provisioning» рекомендуется выбрать вариант «Thick Provision Eager Zeroed». А на шаге «Advanced Options» в блоке параметров «Mode» советуем установить флажок Independent, а затем выбрать вариант «Persistent».

Проверьте, что в ОС Debian прописаны репозитории в «source.list» (/etc/apt/sources.list).

У нас были прописаны следующие sources:

deb http://deb.debian.org/debian buster main
deb-src http://deb.debian.org/debian buster main

deb http://deb.debian.org/debian-security/ buster/updates main
deb-src http://deb.debian.org/debian-security/ buster/updates main

deb http://deb.debian.org/debian buster-updates main
deb-src http://deb.debian.org/debian buster-updates main

Не забудьте выполнить apt update && apt upgrade.

Для удобства контроля процессы установки рекомендуем установить следующие пакеты:

• openssh-server
• net-tools

Роль является базовой единицей развертывания на Linux и представляет собой совокупность служб, утилит и сценариев, обеспечивающих работу определенных функций системы. Каждая роль поставляется в виде отдельного архива, который может содержать как Docker-образы, так и deb-пакеты.

При развертывании системы создаются экземпляры ролей, которые распределяются по приложениям определенного типа (Management and Configuration, Knowledge Base или MaxPatrol 10). Такая архитектура позволяет гибко и удобно развертывать систему, а также обновлять и настраивать её в дальнейшем.

Тип приложения определяется составом входящих в него экземпляров ролей:

• приложение Management and Configuration содержит только роли SqlStorage и Management and Configuration;
• приложение Knowledge Base (только роль Knowledge Base);
• приложение MaxPatrol 10 (только роли Core, RMQ Message Bus и Collector)

Управление развертыванием обеспечивает роль Deployer, которая построена на базе программного обеспечения SaltStack. Его модуль Salt Master обеспечивает общее управление установкой (созданием экземпляров) ролей, модули Salt Minion - установку ролей на каждый сервер системы.

При развертывании необходимо придерживаться следующего порядка действий:

Чтобы установить роль:

1. Если на сервере PT MC есть файл
/etc/salt/pki/minion/minion_master.pub,

Удалите его:
rm /etc/salt/pki/minion/minion_master.pub

2. Распакуйте архив pt_Deployer_<Номер версии>.tar.gz:
tar -xf pt_Deployer_<Номер версии>.tar.gz

3. Запустите сценарий:
pt_Deployer_<Номер версии>/install.sh

4. В открывшемся окне нажмите кнопку «Yes»

Начнутся распаковка и подготовка пакетов. По завершении подготовки откроется окно с текстом лицензионного соглашения.

5. Ознакомьтесь с условиями лицензионного соглашения и нажмите «I Accept», чтобы принять их.

Откроется окно для проверки и изменения параметров установки.

6. Выберите вариант «Basic configuration»:

7. Откроется страница со списком основных параметров.

В качестве значения параметра «HostAddress» укажите IP-адрес или FQDN сервера, на который устанавливается роль Deployer.

8. Нажмите кнопку «ОК».

Начнется установка пакетов. По завершении установки появится сообщение «Deployment configuration successfully applied»:

9. Нажмите кнопку «ОК»

Скопируйте файл /opt/deployer/pki/CAbundle.crt на сервер MP 10 Core.
На сервере MP 10 Core выполните команду:
rabbitmqcfg set -p CACertFile <Путь к файлу CAbundle.crt> -v

Компонент PT MC устанавливается с помощью ролей SqlStorage и Management and Configuration в следующем порядке:

• сначала устанавливается роль SqlStorage;
• затем роль Management and Configuration

Установка роли SqlStorage

1. На сервере MP 10 Core распакуйте архив «pt_SqlStorage_<Номер версии>.tar.gz:
tar -xf SqlStorage_<Номер версии>.tar.gz»

2. Запустите сценарий:
SqlStorage_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку «Yes»

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант «Create New Application»:

5. В открывшемся окне введите идентификатор приложения Management and Configuration и нажмите кнопку «OK»

6. В окне «Instance selection» выберите вариант «Deploy New Instance»:

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите «Accept», чтобы принять их.

В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core

8. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

9. В открывшемся окне введите название экземпляра роли SqlStorage и нажмите кнопку «OK».

Откроется окно для проверки и изменения параметров установки.

10. Выберите вариант «Basic configuration»:

Откроется страница со списком основных параметров.

11. В качестве значения параметра «HostAddress» укажите IP-адрес или FQDN сервера MP 10 Core.

12. Нажмите кнопку «ОК».

Начнется установка пакетов. По завершении установки появится сообщение «Deployment configuration successfully applied»:

13. Нажмите кнопку «ОК».
Роль установлена.

Установка роли Management and Configuration

Для установки роли вам потребуется архив «pt_ManagementAndConfiguration_<Номер версии>.tar.gz» из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив «ManagementAndConfiguration_<Номер версии>.tar.gz:
tar -xf ManagementAndConfiguration_<Номер версии>.tar.gz»

2. Запустите сценарий:
«ManagementAndConfiguration_<Номер версии>/install.sh»

3. В открывшемся окне нажмите кнопку «Yes»:

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант c идентификатором приложения «Management and Configuration»:

5. В окне «Instance selection» выберите вариант «Deploy New Instance»:

6. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите «I Accept», чтобы принять их.

7. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core:

8. В открывшемся окне введите название экземпляра роли «Management and Configuration» и нажмите кнопку «OK»:

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант «Basic configuration»:

Откроется страница со списком основных параметров.

10. В качестве значения параметров «HostAddress» и «PostgreHost» укажите IP-адрес или FQDN сервера MP 10 Core.

11. В качестве значения параметра «DefaultLocale» выберите язык веб-интерфейса приложения «Management and Configuration».

12. Нажмите кнопку «ОК»:

Начнется установка пакетов. По завершении установки появится сообщение «Deployment configuration successfully applied».

13. Нажмите кнопку «ОК»:

Роль установлена.

Компонент «Knowledge Base» устанавливается с помощью роли «Knowledge Base». Для установки роли вам потребуется архив KB_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив KB_<Номер версии>.tar.gz:
tar -xf KB_<Номер версии>.tar.gz

2. Запустите сценарий:
KB_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения

4. Выберите вариант Create New Application

5. В открывшемся окне введите идентификатор приложения Knowledge Base и нажмите кнопку OK.

6. В окне Instance selection выберите вариант Deploy New Instance.

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

8. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

9. В открывшемся окне введите название экземпляра роли Knowledge Base и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

10. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

11. В качестве значения параметра DefaultLocale выберите желаемый язык интерфейса приложения Knowledge Base.

12. Укажите значения параметров:
SiemAddress: <IP-адрес или FQDN сервера MP SIEM Server> HostAddress: <IP-адрес или FQDN сервера MP 10 Core>
PostgreHost: <IP-адрес или FQDN сервера MP 10 Core>
MCAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:3334 CoreAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:443

13. Нажмите кнопку ОК.
Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

14. Нажмите кнопку ОК.

Роль установлена.

Компонент MP 10 Core устанавливается с помощью ролей RMQ Message Bus и Core в следующем порядке: сначала устанавливается роль RMQ Message Bus, затем роль Core.

Установка роли RMQ Message Bus на сервер MP 10 Core

Для установки роли вам потребуется архив RmqMessagebus_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив RmqMessagebus_<Номер версии>.tar.gz:
tar -xf RmqMessagebus_<Номер версии>.tar.gz

2. Запустите сценарий:
RmqMessagebus_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант Create New Application.

5. В открывшемся окне введите идентификатор приложения MaxPatrol 10 и нажмите кнопку OK.

6. В окне Instance selection выберите вариант Deploy New Instance.

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.
8. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

9. В открывшемся окне введите название экземпляра роли RMQ Message Bus и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

10. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

11. В качестве значения параметра HostAddress укажите IP-адрес или FQDN сервера MP 10 Core.

12. Нажмите кнопку ОК.
Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

13. Нажмите кнопку ОК.

Роль установлена.

Установка роли Core

Для установки роли вам потребуется архив Core_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере MP 10 Core распакуйте архив Core_<Номер версии>.tar.gz:
tar -xf Core_<Номер версии>.tar.gz

2. Запустите сценарий:
Core_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку Yes.

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант c идентификатором приложения MaxPatrol 10.

5. В окне Instance selection выберите вариант Deploy New Instance.

6. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите I Accept, чтобы принять их.

7. В открывшемся окне выберите вариант с доменным именем сервера MP 10 Core.

8. В открывшемся окне введите название экземпляра роли Core и нажмите кнопку OK.

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант Basic configuration.

Откроется страница со списком основных параметров.

10. В качестве значения параметра DefaultLocale выберите желаемый язык веб-интерфейса приложения MaxPatrol 10.

Укажите значения параметров:

HostAddress: <IP-адрес или FQDN сервера MP 10 Core>
MCAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:3334
KBAddress: https://<IP-адрес или FQDN сервера MP 10 Core>:8091
PostgreHost: <IP-адрес или FQDN сервера MP 10 Core>
RMQHost: <IP-адрес или FQDN сервера MP 10 Core>
SiemFrontendAddress: http://<IP-адрес или FQDN сервера MP SIEM Server>:8013

12. Нажмите кнопку ОК.

Начнется установка пакетов. По завершении установки появится сообщение Deployment configuration successfully applied.

13. Нажмите кнопку ОК.

Роль установлена.
На этом этапе можем зайти по указанному IP-адресу и проверить, что система доступна через веб-интерфейс.

Компонент MP SIEM Events Storage устанавливается с помощью роли SIEM Storage.

Установка роли SIEM Storage с хранилищем событий Elasticsearch

Для установки роли вам потребуется архив SiemStorage_<Номер версии>.tar.gz из комплекта поставки.

Чтобы установить роль:

1. На сервере с установленной ролью Deployer распакуйте архив» SiemStorage_<Номер версии>.tar.gz: tar -xf SiemStorage_<Номер версии>.tar.gz »

2. Запустите сценарий: «SiemStorage_<Номер версии>/install.sh »

3. В открывшемся окне нажмите кнопку «Yes».

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выполните одно из следующих действий:

• Если в открывшемся окне для выбора доступен вариант с идентификатором установленного ранее приложения MaxPatrol 10: выберите этот вариант.
• Если вариант с идентификатором установленного ранее приложения MaxPatrol 10 отсутствует: выберите вариант Create New Application.

5. Если вы выбрали вариант Create New Application, в открывшемся окне введите идентификатор приложения MaxPatrol 10 и нажмите кнопку «OK».

6. В окне «Instance selection» выберите вариант «Deploy New Instance».

7. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите «I Accept», чтобы принять их.

8. В открывшемся окне выберите вариант с доменным именем сервера MP SIEM Events Storage.

9. В открывшемся окне введите название экземпляра роли SIEM Storage и нажмите кнопку «OK».

Откроется окно для проверки и изменения параметров установки.

10.Выберите вариант «Basic configuration».

Откроется страница с перечнем параметров конфигурации.

11.В качестве значения параметра «HostAddress» укажите IP-адрес или FQDN сервера MP SIEM Events Storage.

12.Укажите значение параметра «ClusterConfigurationProfile: AIO».

13.Нажмите кнопку «ОК».
Начнется установка пакетов. По завершении установки появится сообщение «Deployment configuration successfully applied».

14.Нажмите кнопку «ОК».

Роль установлена.

Для установки роли вам потребуется архив «SiemServer_<Номер версии>.tar.gz» из комплекта поставки. 

Чтобы установить роль:

1. На сервере с установленной ролью Deployer распакуйте архив SiemServer_<Номер версии>.tar.gz: tar -xf SiemServer_<Номер версии>.tar.gz

2. Запустите сценарий: SiemServer_<Номер версии>/install.sh

3. В открывшемся окне нажмите кнопку «Yes».

Начнутся распаковка и подготовка пакетов, необходимых для установки. По завершении подготовки откроется окно для выбора приложения.

4. Выберите вариант c идентификатором приложения MaxPatrol 10.

5. В окне «Instance selection» выберите вариант «Deploy New Instance».

6. В открывшемся окне ознакомьтесь с условиями лицензионного соглашения и нажмите «I Accept», чтобы принять их.

7. В открывшемся окне выберите вариант с доменным именем сервера MP SIEM Server.

8. В открывшемся окне введите название экземпляра роли SIEM Server и нажмите кнопку «OK».

Откроется окно для проверки и изменения параметров установки.

9. Выберите вариант «Basic configuration».

Откроется страница с перечнем параметров конфигурации.

10.Укажите значения параметров:

CoreAddress: <IP-адрес или FQDN сервера MP 10 Core>
HostAddress: <IP-адрес или FQDN сервера MP SIEM Server>
RMQHost: <IP-адрес или FQDN сервера MP 10 Core>

11.Укажите значение параметра «StorageBackendType: elasticsearch».

12.Нажмите кнопку «ОК».

Начнется установка пакетов. По завершении установки появится сообщение «Deployment configuration successfully applied».

13.Нажмите кнопку «ОК»

Роль установлена.

Чтобы активировать лицензию:

1. На сервер MP 10 Core в каталог «/var/lib/deployed-roles/<Название приложения>/<Название экземпляра роли Core>/data/licensing» скопируйте шаблон ключа «<Номер лицензии>.grdvd» и текстовый файл с серийным номером «<Идентификатор ключа>.txt».

2. Запустите активацию лицензии от имени суперпользователя (root):

docker exec -it $(docker ps | awk '/licensing/ {print $NF}') /usr/local/bin/guardantutils/grdspactivation /var/lib/microservice/<Номер лицензии>.grdvd /serialfile=/var/lib/microservice/<Идентификатор ключа>.txt

По завершении активации появится сообщение «License activation Succeeded».
Лицензия активирована.

3. После активации лицензии необходимо перезапустить службы компонентов MP 10 Core и Knowledge Base с помощью команды:

docker restart $(docker ps | awk '/core-|kb-/ {print $NF}')

Затем выйти из системы и заново войти.

4. Проверим через веб-интерфейс, что сертификат применился: для этого зайдем в раздел меню Система - Управление системой в раздел «О системе».

Стандартная база данных содержит необходимые для работы правила и табличные списки. Перед ее установкой необходимо активировать лицензию.

Чтобы установить стандартную базу данных:
1. В главном меню нажмите
и в раскрывшемся меню выберите пункт «Knowledge Base».

Откроется страница «Статистика».

2. В главном меню в разделе SIEM Content выберите пункт «Базы данных». Откроется страница «Базы данных / SIEM Content».

3. Убедитесь, что статус базы данных SIEM Content имеет значение «Created».

4. В главном меню в разделе SIEM выберите пункт «Пакеты экспертизы». Откроется страница «Пакеты экспертизы».

5. Нажмите →
Откроется окно Установить в SIEM.

6. Нажмите кнопку «Запустить установку».
Начнется установка стандартной базы данных.

После завершения процесса установки в рабочей области появится сообщение «Установка успешно завершена». Стандартная база данных установлена.

Для установки компонента на Microsoft Windows вам потребуется файл «MPXAgentSetup_<Номер версии>.exe» из комплекта поставки.

Если мастер установки предложит перезагрузить операционную систему: вам необходимо подтвердить перезагрузку. После перезагрузки установка будет продолжена автоматически.

Чтобы установить компонент Collector:

1. Запустите файл «MPXAgentSetup_<Номер версии>.exe». Откроется окно мастера установки.

2. Ознакомьтесь с текстом лицензионного соглашения по ссылке.

3. Установите флажок «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Продолжить».

4. Укажите пути для установки.
Если вы хотите установить компоненты в папки по умолчанию: не изменяйте значения полей.

5. Нажмите кнопку «Продолжить».

6. В поле «Имя агента» введите имя агента, которое будет отображаться в интерфейсе MaxPatrol 10

7. В поле «Адрес обработчика данных» укажите IP-адрес или FQDN сервера MP SIEM Server.

8. Нажмите кнопку «Продолжить».

Мастер установки выполнит проверку указанных вами параметров и отобразит их после проверки.
По результатам проверки мастер может отображать сообщения о некорректных значениях указанных параметров. В этом случае вам необходимо вернуться, нажиав кнопку «Назад», и указать корректные значения параметров.

9. Нажмите «Установить».

10. По завершении установки нажмите кнопку «Закрыть».

11. На сервере с установленной ролью «Deployer» выполните команды:
cp /opt/deployer/pki/legacy_ca/windows-selfsigned-default.pem /opt/deployer/pki/trusted_ca/
dpkg-reconfigure deployer
/opt/deployer/bin/Restart-Configuration.ps1 -RoleTypeId RmqMessageBus

12. Проверим через веб-интерфейс, что агент отображается в списке установленных агентов. Для этого зайдем в раздел меню «Система - Управление системой» в раздел «Агенты».

Компонент установлен.

Дальнейшие процессы установки компонентов MaxPatrol SIEM на виртуальную машину мы рассмотрим в следующей статье курса.

Оставайтесь с нами!