- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 2.2 Установка NTechnology SIEM
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 2.2 Установка NTechnology SIEM
2.2 Установка NTechnology SIEM
Для того, чтобы начать процесс установки NT SIEM необходимо скачать и распаковать исходные файлы из дистрибутива, предоставляемого производителями NT SIEM.
Для того, чтобы распаковать исходные файлы следует переключиться на пользователя root, имеющего администраторский доступ к вашей системе, и выполнить команду для создания временной директории:
Block of code
mkdir temp/
tar -zxvf NtechnologySiem_v2.0.0.tar.gz -C temp/
После распаковки архива необходимо перейти в директорию, где будут находиться два файла: 2.0.0.tar.gz, new_install.sh и папки с документацией, базой правил и инсталлятором служб сборки событий.
Для перехода следует выполнить команду:
Block of code
cd temp/
Далее необходимо поменять права доступа для файла new_install.sh, который уже входит в состав дистрибутива. Для этого необходимо ввести в консоли следующую команду:
Block of code
chmod u+x new_install.sh
После изменения прав доступа ввести в консоли команду для запуска скрипта установки:
Block of code
./new_install.sh
После произведенных команд начнется установка NT SIEM и далее необходимо в интерактивном меню ответить на следующие вопросы:
- Ввести IP-адрес хоста машины, где будет произведена установка системы.
- Необходима ли настройка точки монтирования для холодного хранения данных. Варианты ответа: y/n. Если есть такая необходимость, то ввести: у. Далее будет предложено ввести директорию для монтирования cold storage (см. рис. 7). Если была выбрана опция ответа: n, то монтирование дискового пространства будет по стандартной схеме.
- Ввести основную сеть Network Syslog. В данной опции следует указать IP-адрес и маску подсети, с которой разрешен прием syslog-сообщений. Например, 10.77.163.0/24. По умолчанию разрешены все сети (0.0.0.0/ 0) (см. рис. 8);
- Далее, если есть необходимость добавить еще одну сеть, то следует ввести "y", если нет, то - "n" (см. рис. 9).
- Следует обратить внимание на то, что если понадобиться в дальнейшей работе добавить новую сеть или обновить сети, то необходимо перейти в директорию установленного проекта (по умолчанию srv/siem-docker): cd /srv/siem-docker и запустить скрипт: bash networks_syslogs.sh (см. рис. 10).
- Указать, сколько выделить оперативной памяти, но не более 50 % от общей оперативной памяти. Обратить внимание, что необходимо выбрать цифру, под которой указана нужная вам оперативная память (см. рис. 11).
Рисунок 7 - Указание папки для монтирования cold storage
Рисунок 8 - Ввод новых сетей
Рисунок 9 - Ввод дополнительной сети
Рисунок 10 - Обновление сети
Рисунок 11 - Варианты объема оперативной памяти
Далее будет предложена установка доменного имени (по необходимости). Для этого следует выполнить следующие шаги:
- Настройка доменного имени.
- Выбор типа сертификата.
- Проверка валидности сертификата (см. рис. 12).
При выборе типа сертификата, если выбрать вариант 1, то необходимо ввести параметры самоподписанного сертификата.
Следует обратить внимание, для пользователей браузера Safari максимальный срок действия самоподписанных сертификатов составляет 398 дней.
Если выбрать вариант 2, то необходимо использовать существующие сертификаты, указав путь к ним.
Рисунок 12 - Проверка валидности сертификата
После завершения процедуры установки сертификаты будут храниться в директории: /srv/siem-docker/config/nginx/certs/
Если требуется сменить текущее доменное имя, то необходимо запустить скрипт: bash scripts/domain.sh из корневой директории.
Процесс установки занимает несколько минут. Управление NT SIEM осуществляется через веб-интерфейс. Для этого следует открыть браузер Google Chrome и ввести в адресной строке IP-адрес (https://IP_Address, где IP_Address – IP-адрес сервера, где производилась инсталляция NT SIEM). Первая загрузка веб-интерфейса может занять несколько минут.
При необходимости можно изменить настройки по умолчанию сети Docker (172.17.0.1), для этого необходимо:
1. Создать или отредактировать файл: /etc/docker/daemon.json:
Block of code
sudo nano /etc/docker/daemon.json
2. Добавить или заменить содержимое, где bip — это IP-адрес и подсеть для интерфейса docker0:
Block of code
{"bip": "100.100.1.1/16" }.
Следует убедиться, что выбранная сеть не конфликтует с локальной или VPN-сетью.
3. Перезапустить Docker:
Block of code
sudo systemctl restart docker
После загрузки веб-интерфейс будет выглядеть как на рисунке ниже (рис. 13).
Рисунок 13 - Страница авторизации NT SIEM
В ходе установки системы также подгружаются системные правила, используемые для обработки и анализа данных в NT SIEM.
Учетная запись администратора по умолчанию имеет атрибуты:
- имя пользователя: admin
- пароль: sTr0n&gg
Рекомендуется изменить пароль сразу после входа в веб-интерфейс. В дальнейшем можно создать и другие учетные записи, например, с ролью администратора или оператора.
Для смены пароля у учетной записи администратора следует:
- Выбрать в боковом меню страницу «Настройки системы» (рис.13).
- На вкладке «Пользователи» выбрать пользователя с ролью «Супер Администратор».
- Нажать на кнопку «Редактировать».
- Ввести новый пароль.
- Нажать на кнопку «Сохранить».
Как результат, пароль учетной записи администратора изменится. Если Пользователь не подтверждает свое действие или при нажатии на кнопку «Отмена», все данные остаются неизменными.
Риcунок 13 - Страница "Настройки системы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 2.2 Установка NTechnology SIEM
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 2.2 Установка NTechnology SIEM
2.2 Установка NTechnology SIEM
Для того, чтобы начать процесс установки NT SIEM необходимо скачать и распаковать исходные файлы из дистрибутива, предоставляемого производителями NT SIEM.
Для того, чтобы распаковать исходные файлы следует переключиться на пользователя root, имеющего администраторский доступ к вашей системе, и выполнить команду для создания временной директории:
Block of code
mkdir temp/
tar -zxvf NtechnologySiem_v2.0.0.tar.gz -C temp/
После распаковки архива необходимо перейти в директорию, где будут находиться два файла: 2.0.0.tar.gz, new_install.sh и папки с документацией, базой правил и инсталлятором служб сборки событий.
Для перехода следует выполнить команду:
Block of code
cd temp/
Далее необходимо поменять права доступа для файла new_install.sh, который уже входит в состав дистрибутива. Для этого необходимо ввести в консоли следующую команду:
Block of code
chmod u+x new_install.sh
После изменения прав доступа ввести в консоли команду для запуска скрипта установки:
Block of code
./new_install.sh
После произведенных команд начнется установка NT SIEM и далее необходимо в интерактивном меню ответить на следующие вопросы:
- Ввести IP-адрес хоста машины, где будет произведена установка системы.
- Необходима ли настройка точки монтирования для холодного хранения данных. Варианты ответа: y/n. Если есть такая необходимость, то ввести: у. Далее будет предложено ввести директорию для монтирования cold storage (см. рис. 7). Если была выбрана опция ответа: n, то монтирование дискового пространства будет по стандартной схеме.
- Ввести основную сеть Network Syslog. В данной опции следует указать IP-адрес и маску подсети, с которой разрешен прием syslog-сообщений. Например, 10.77.163.0/24. По умолчанию разрешены все сети (0.0.0.0/ 0) (см. рис. 8);
- Далее, если есть необходимость добавить еще одну сеть, то следует ввести "y", если нет, то - "n" (см. рис. 9).
- Следует обратить внимание на то, что если понадобиться в дальнейшей работе добавить новую сеть или обновить сети, то необходимо перейти в директорию установленного проекта (по умолчанию srv/siem-docker): cd /srv/siem-docker и запустить скрипт: bash networks_syslogs.sh (см. рис. 10).
- Указать, сколько выделить оперативной памяти, но не более 50 % от общей оперативной памяти. Обратить внимание, что необходимо выбрать цифру, под которой указана нужная вам оперативная память (см. рис. 11).
Рисунок 7 - Указание папки для монтирования cold storage
Рисунок 8 - Ввод новых сетей
Рисунок 9 - Ввод дополнительной сети
Рисунок 10 - Обновление сети
Рисунок 11 - Варианты объема оперативной памяти
Далее будет предложена установка доменного имени (по необходимости). Для этого следует выполнить следующие шаги:
- Настройка доменного имени.
- Выбор типа сертификата.
- Проверка валидности сертификата (см. рис. 12).
При выборе типа сертификата, если выбрать вариант 1, то необходимо ввести параметры самоподписанного сертификата.
Следует обратить внимание, для пользователей браузера Safari максимальный срок действия самоподписанных сертификатов составляет 398 дней.
Если выбрать вариант 2, то необходимо использовать существующие сертификаты, указав путь к ним.
Рисунок 12 - Проверка валидности сертификата
После завершения процедуры установки сертификаты будут храниться в директории: /srv/siem-docker/config/nginx/certs/
Если требуется сменить текущее доменное имя, то необходимо запустить скрипт: bash scripts/domain.sh из корневой директории.
Процесс установки занимает несколько минут. Управление NT SIEM осуществляется через веб-интерфейс. Для этого следует открыть браузер Google Chrome и ввести в адресной строке IP-адрес (https://IP_Address, где IP_Address – IP-адрес сервера, где производилась инсталляция NT SIEM). Первая загрузка веб-интерфейса может занять несколько минут.
При необходимости можно изменить настройки по умолчанию сети Docker (172.17.0.1), для этого необходимо:
1. Создать или отредактировать файл: /etc/docker/daemon.json:
Block of code
sudo nano /etc/docker/daemon.json
2. Добавить или заменить содержимое, где bip — это IP-адрес и подсеть для интерфейса docker0:
Block of code
{"bip": "100.100.1.1/16" }.
Следует убедиться, что выбранная сеть не конфликтует с локальной или VPN-сетью.
3. Перезапустить Docker:
Block of code
sudo systemctl restart docker
После загрузки веб-интерфейс будет выглядеть как на рисунке ниже (рис. 13).
Рисунок 13 - Страница авторизации NT SIEM
В ходе установки системы также подгружаются системные правила, используемые для обработки и анализа данных в NT SIEM.
Учетная запись администратора по умолчанию имеет атрибуты:
- имя пользователя: admin
- пароль: sTr0n&gg
Рекомендуется изменить пароль сразу после входа в веб-интерфейс. В дальнейшем можно создать и другие учетные записи, например, с ролью администратора или оператора.
Для смены пароля у учетной записи администратора следует:
- Выбрать в боковом меню страницу «Настройки системы» (рис.13).
- На вкладке «Пользователи» выбрать пользователя с ролью «Супер Администратор».
- Нажать на кнопку «Редактировать».
- Ввести новый пароль.
- Нажать на кнопку «Сохранить».
Как результат, пароль учетной записи администратора изменится. Если Пользователь не подтверждает свое действие или при нажатии на кнопку «Отмена», все данные остаются неизменными.
Риcунок 13 - Страница "Настройки системы"