GNU/Linux >> Tutoriels Linux >  >> Linux

The Hive (plateforme de réponse aux incidents de sécurité)

Cette page est un guide d'installation et de configuration étape par étape pour obtenir une instance TheHive 4 opérationnelle. Ce guide est illustré d'exemples pour les systèmes basés sur les packages Debian et pour l'installation à partir de packages binaires.

Machine virtuelle Java

apt-get install -y openjdk-8-jre-headless
echo JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64" >> /etc/environment
export JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

Remarque

TheHive peut être chargé par Java 11, mais pas la version stable de Cassandra, qui nécessite toujours Java 8. Si vous configurez un cluster pour la base de données distinct des serveurs TheHive :

  • Les nœuds Cassandra peuvent être chargés par Java 8
  • Les nœuds TheHive peuvent être chargés par Java 11

Pour les serveurs autonomes, avec TheHive et Cassandra sur le même système d'exploitation, nous vous recommandons de n'installer que Java 8 pour les deux applications.

Base de données Cassandre

Apache Cassandra est une base de données évolutive et hautement disponible. TheHive prend en charge la dernière version stable 3.11.x de Cassandre.

Installer à partir du référentiel

Ajouter des références de référentiel Apache

curl -fsSL https://www.apache.org/dist/cassandra/KEYS | sudo apt-key add -
echo "deb http://www.apache.org/dist/cassandra/debian 311x main" | sudo tee -a /etc/apt/sources.list.d/cassandra.sources.list

Installer le paquet

sudo apt update
sudo apt install cassandra

Par défaut, les données sont stockées dans /var/lib/cassandra .

Configuration

Commencez par changer le cluster_name avec thp . Exécutez la commande cqlsh :

cqlsh localhost 9042
cqlsh> UPDATE system.local SET cluster_name = 'thp' where key='local';

Quittez puis exécutez :

nodetool flush

Configurez Cassandra en éditant /etc/cassandra/cassandra.yaml fichier.

# content from /etc/cassandra/cassandra.yaml

cluster_name: 'thp'
listen_address: 'xx.xx.xx.xx' # address for nodes
rpc_address: 'xx.xx.xx.xx' # address for clients
seed_provider:
    - class_name: org.apache.cassandra.locator.SimpleSeedProvider
      parameters:
          # Ex: "<ip1>,<ip2>,<ip3>"
          - seeds: 'xx.xx.xx.xx' # self for the first node
data_file_directories:
  - '/var/lib/cassandra/data'
commitlog_directory: '/var/lib/cassandra/commitlog'
saved_caches_directory: '/var/lib/cassandra/saved_caches'
hints_directory: 
  - '/var/lib/cassandra/hints'

Redémarrez ensuite le service :

service cassandra restart

Par défaut Cassandra écoute sur 7000/tcp (inter-nœud), 9042/tcp (client).

Stockage de fichiers

Fichiers téléchargés dans TheHive (dans les journaux des tâches ou en observables ) peuvent être stockés dans le système local, dans un système de fichiers Hadoop (recommandé) ou dans la base de données de graphes.

Pour les serveurs de production et de test autonomes, nous vous recommandons d'utiliser le système de fichiers local. Si vous envisagez de créer un cluster avec TheHive, vous avez plusieurs solutions possibles :utiliser les services Hadoop ou S3 .

Cette option est parfaite pour les serveurs autonomes . Si vous avez l'intention de créer un cluster pour votre instance de TheHive 4, nous vous recommandons :

  • à l'aide d'un partage NFS, commun à tous les nœuds
  • examiner les solutions de stockage mettant en œuvre S3 ou HDFS.

Pour stocker des fichiers sur le système de fichiers local, commencez par choisir le dossier dédié :

mkdir -p /opt/thp/thehive/files

Ce chemin sera utilisé dans la configuration de l'application.

Plus tard, après avoir installé TheHive, assurez-vous que l'utilisateur thehive possède le chemin choisi pour stocker les fichiers :

chown -R thehive:thehive /opt/thp/thehive/files

La Ruche

Cette partie contient des instructions pour installer The Hive puis le configurer.

TheHive4 ne peut pas être installé sur le même serveur que les anciennes versions. Nous vous recommandons de l'installer sur un nouveau serveur, surtout si une migration est prévue

Installation

Tous les packages sont publiés sur notre référentiel de packages. . Son empreinte digitale est 0CD5 AC59 DE5C 5A8E 0EE1 3849 3D99 BB18 562C BC1C .

curl https://raw.githubusercontent.com/TheHive-Project/TheHive/master/PGP-PUBLIC-KEY | sudo apt-key add -

La ruche publie également une version stable et bêta des applications.

Versions stables

echo 'deb https://deb.thehive-project.org release main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Versions bêta

echo 'deb https://deb.thehive-project.org beta main' | sudo tee -a /etc/apt/sources.list.d/thehive-project.list
sudo apt-get update
sudo apt-get install thehive4

Nous vous recommandons d'utiliser ou de jouer avec la version bêta à des fins de test uniquement.

Configuration

Les configurations suivantes sont requises pour démarrer l'application avec succès :

  • Configuration de la clé secrète
  • Configuration de la base de données
  • Configuration du stockage de fichiers

Configuration de la clé secrète

The secret key is automatically generated and stored in /etc/thehive/secret.conf by package installation script.

Base de données

Pour utiliser la base de données Cassandra, le fichier de configuration TheHive (/etc/thehive/application.conf ) doit être édité et mis à jour avec les lignes suivantes :

db {
  provider: janusgraph
  janusgraph {
    storage {
      backend: cql
      hostname: ["127.0.0.1"] # seed node ip addresses
      #username: "<cassandra_username>"       # login to connect to database (if configured in Cassandra)
      #password: "<cassandra_passowrd"
      cql {
        cluster-name: thp       # cluster name
        keyspace: thehive           # name of the keyspace
        local-datacenter: datacenter1   # name of the datacenter where TheHive runs (relevant only on multi datacenter setup)
        # replication-factor: 2 # number of replica
        read-consistency-level: ONE
        write-consistency-level: ONE
      }
    }
  }
}

Système de fichiers

1:If you chose to store files on the local filesystem:

Ensure permission of the folder


chown -R thehive:thehive /opt/thp/thehive/files
2: add following lines to TheHive configuration file (https://1118798822.rsc.cdn77.org/etc/thehive/application.conf)


## Storage configuration
storage {
provider = localfs
localfs.location = /opt/thp/thehive/files
}

Exécuter

Enregistrez le fichier de configuration et exécutez le service :

service thehive start

Veuillez noter que le service peut prendre un certain temps pour démarrer. Une fois lancé, vous pouvez lancer votre navigateur et vous connecter à http://YOUR_SERVER_ADDRESS:9000/ .

Site Web d'application


Linux

  1. Les 5 choses que j'aurais aimé savoir avant de devenir administrateur système

  2. Désactivation de la confirmation du mot de passe de sécurité administrateur dans Jira et Confluence

  3. Renforcement de la sécurité SSL dans Apache, Dovecot et Postfix

  4. Qu'est-ce que la vulnérabilité de sécurité VENOM ?

  5. Comment vérifier le système d'exploitation en Python ?

Comment installer la plateforme de prise de notes collaborative Etherpad sous Linux

Comment installer la plateforme de gestion de bout en bout de ManageEngine OpManager sous Linux

Comment installer la plateforme d'analyse Web Matomo sur Ubuntu Server 20.04

Comment installer la base de données Apache Cassandra NoSQL sur AlmaLinux 8

Les 20 meilleurs outils de sécurité Linux :le choix de l'expert Linux

Les 8 meilleurs téléphones sécurisés Linux pour la confidentialité et la sécurité