Установка KOMRAD Enterprise SIEM 4.1.33 на Ubuntu, Debian

Эта страница была отправлена в архив, поскольку больше не является актуальной.

Аппаратные требования

Для установки KOMRAD на Ubuntu / Debian необходимо:

  • наличие установочного диска, диска с обновлением или развернутого сетевого репозитория;

  • версия Ubuntu должна быть не ниже 20, либо Debian не ниже 7;

  • СУБД Postgres из официального репозитория Ubuntu или Debian;

  • наличие идентификационной информации для запуска из-под суперпользователя;

  • для установки недостающих пакетов можно использовать терминал или воспользоваться графическим менеджером пакетов, например Synaptic.

Все последующие действия (команды) необходимо выполнять в терминале.

Установка и настройка PostgreSQL и ClickHouse

Порядок выполняемых действий:

1.Установить и настроить PostgreSQL:

sudo apt update
sudo apt install postgresql -y

2.Перейти в папку с дистрибутивом /ubuntu/db/clickhouse/ и в терминале ввести:

sudo dpkg -i ./*.deb

Указать пароль для пользователя "default".

3.Запустить ClickHouse командой в терминале:

sudo service clickhouse-server start

4.Создать пароль для ClickHouse командой в терминале, указав вместо pass Ваш пароль. Обратите внимание, что команда пишется в одну строку:

echo "pass"; echo -n "pass" | sha256sum | tr -d '-'

В первой строке результата – пароль (pass). Вторая строка – соответствующий ему хэш SHA256 (pass_SHA256).

5.Создать и открыть на редактирование файл:

sudo nano /etc/clickhouse-server/users.d/komrad.xml

Заполнить содержимое файла следующим фрагментом:

<yandex>
    <users>
        <komrad>
            <password remove='1' />
            <password_sha256_hex>*pass_SHA256*</password_sha256_hex>
        </komrad>
    </users>
</yandex>

Где вместо pass_SHA256 вставьте сгенерированный хэш, соответствующий Вашему паролю.

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

6.Открыть файл, выполнив:

sudo nano /etc/clickhouse-server/users.xml

Добавьте пользователя komrad в группу пользователей, для чего приведите фрагмент файла к виду:

<!-- Users and ACL. -->
    <users>
        <komrad>
                <access_management>1</access_management>
                <password></password>
        </komrad>
        <!-- If user name was not specified, 'default' user is used. -->
        <default>
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

7.Перезапустить сервер ClickHouse, выполнив:

sudo systemctl restart clickhouse-server.service

Установление прав пользователя на создание баз данных и создание базы данных

Порядок выполняемых действий:

1.Чтобы создать нового пользователя, откройте аккаунт стандартного пользователя:

sudo su - postgres

2.Наделите пользователя правами на создание новых баз данных, где вместо pass – установите пароль для пользователя postgres:

psql -c "ALTER USER postgres WITH CREATEDB LOGIN PASSWORD 'pass';"

3.Установите расширение, выполнив:

psql -c "CREATE EXTENSION pg_trgm;"

4.Создайте базы данных, выполнив:

createdb -O postgres komrad-preferences
createdb -O postgres pauth-preferences
createdb -O postgres scanner
exit

5.Запустите клиент ClickHouse, используя данные пользователя komrad, где вместо pass – укажите пароль, заданный при установке ClickHouse.

clickhouse-client --user=komrad --password=pass

6.Создайте базу данных, выполнив:

CREATE DATABASE komrad_events
exit

Установка модуля сканирования сети Nmap

Перейдите в папку с утилитами /ubuntu/tools и через терминал выполните команду:

sudo dpkg -i ./*.deb

Установка KOMRAD

Перейдите в папку с дистрибутивом /ubuntu/deb и через терминал выполните команду:

sudo dpkg -i ./*.deb

Редактирование yaml-файлов

1.Откройте файл komrad-processor.yaml, выполнив через команду в терминале:

sudo nano /etc/echelon/komrad/komrad-processor.yaml

Приведите фрагмент файла к данному виду:

# Настройки подключения к бд хранящей конфигурацию виджетов
widgetsdb:
  TLSCertPath: /var/lib/echelon/komrad/certs/client.pem
  TLSKeyPath: /var/lib/echelon/komrad/certs/client-key.pem
  TLSRootCAPath: /var/lib/echelon/komrad/certs/ca.pem
  db: komrad-preferences
  host: localhost
  password: pass # укажите пароль для пользователя postgres (PostgreSQL)
  port: 5432
  tlsmode: verify-full
  user: postgres

 Настройки хранилища событий информационной безопасности
storage:
  # Тип хранилища, в данной версии поддерживается только:
  # - timescale - PostgreSQL 12+ с плагином TimescaleDB 2.2.1+
  # - clickhouse - ClickHouse v21.7.8.58-stable
  # Для ОС "Основа" поддерживается PostgreSQL 11 с TimescaleDB 2.2.1
  kind: clickhouse
  clickhouse:
    # Название БД
    name: komrad_events
    user: komrad
    password: pass # укажите пароль для пользователя komrad (ClickHouse)
    # Адрес хоста с ClickHouse-server
    host: localhost
    # Порт ClickHouse-server
    port: 9000
    # Режим работы - с TLS или без
    sslmode: disable
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

2.Откройте файл komrad-server.yaml, выполнив:

sudo nano /etc/echelon/komrad/komrad-server.yaml

Отредактируйте:

database:
pg:
  db: komrad-preferences
  host: localhost
  password: pass # укажите пароль для пользователя postgres (PostgreSQL)
  port: 5432
  tlsmode: verify-full
  user: postgres
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

3.Откройте файл * komrad-correlation-dispatcher.yaml*, выполнив:

sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher.yaml

Отредактируйте:

# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...

CorrelatorController:
  # Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
  CorrelatorDB:postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...`

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

4.Откройте файл komrad-incident-manager.yaml, выполнив:

sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml

Отредактируйте:

Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

5.Откройте файл pauth-server.yaml, выполнив:

sudo nano /etc/echelon/komrad/pauth-server.yaml

Отредактируйте:

database: postgres://postgres:pass@localhost:5432/pauth-preferences?sslmode...

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

6.Откройте komrad-scanner-config.json, выполнив:

sudo nano /etc/echelon/komrad/komrad-scanner-config.json

Отредактируйте:

"Main": {
      "Driver": "postgres",
      "Host": "localhost",
      "Port": 5432,
      "DBName": "scanner",
      "User": "postgres",
      "Password": "*pass*",
      "SSLMode": "disable"
             }

Где в pass – укажите пароль пользователя postgres (PostgreSQL).

Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

7.Откройте postgresql.conf, выполнив:

sudo nano /etc/postgresql/*/main/postgresql.conf

8.Раскомментируйте и добавьте пути до сертификатов:

ssl = on
ssl_ca_file = '/var/lib/echelon/komrad/certs/ca.pem'
ssl_key_file = '/var/lib/echelon/komrad/certs/server-key.pem'
ssl_cert_file = '/var/lib/echelon/komrad/certs/server.pem'
Для сохранения файла используйте ctrl+o → Enter → ctrl+x.

9.Перезагрузите сервисы, выполнив команду в одну строчку:

sudo systemctl restart postgresql komrad-server komrad-processor komrad-scanner pauth-server  komrad-correlation-dispatcher incident-manager

Создание ролей администратора и пользователя с правами администратора

Создайте роль администратора и пользователя с правами администратора через следующие команды в терминале. Внимание! Каждая отдельная команда пишется одну строчку:

sudo pauthctl role add admin --migrate --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

Об успешном добавлении роли admin в строке сервиса будет строка:

INFO roles added {"role_names": ["admin"], "status": "success"}

Теперь добавим роль пользователя:

sudo pauthctl role add user --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

Об успешном добавлении роли user в строке сервиса будет строка:

INFO roles added {"role_names": ["user"], "status": "success"}

pauthctl user add --email name@domain.com --login admin --roles admin --password admin --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"

Где:

pass – укажите пароль пользователя postgres (PostgreSQL);

e-mail name@domain.com – укажите свой e-mail адрес администратора;

login admin – укажите свой логин администратора;

password admin – укажите свой пароль администратора.

Перенос лицензии

1.Удалите демо-лицензию из папки /etc/echelon/komrad/license командой в терминале:

sudo rm /etc/echelon/komrad/license/license.lic

2.Скопируйте в папку /etc/echelon/komrad/license файл лицензии с расширением (.lic).

3.Перезапустите сервисы komrad-server, komrad-processor, pauth-server командой в терминале:

sudo systemctl restart komrad-server komrad-processor pauth-server

Создание сертификатов

Внимание! Дальнейшие действия желательно выполнять на отдельной ЭВМ, где в дальнейшем будут храниться корневые сертификаты, необходимые для корректной работы компонентов KOMRAD.

1.Создайте на жестком диске папку /tls;

Команда для создания папки:
mkdir tls

2.Перейдите в папку /tls и выполните команду в терминале для создания корневого сертификата:

cd tls
echelontls ca --organization “*Echelon*”

Где вместо Echelon укажите название своей организации.

В папке /tls сгенерируются два файла ca.pem и ca-key.pem.

3.Создайте серверный сертификат командой в терминале:

echelontls cert --organization “Echelon” localhost 127.0.0.1 $(hostname -I) $(hostname)

Где вместо Echelon укажите название своей организации.

В папке /tls сгенерируются два файла server.pem и server-key.pem

4.Создайте клиентский сертификат командой в терминале:

echelontls cert --client

В папке /tls сгенерируются два файла client.pem и client-key.pem

5.Создайте сертификат для браузера командой в терминале:

echelontls browser

Внимание! При генерации сертификата для браузера, утилита komradtls попросит задать пароль. Этот пароль потребуется при добавлении сертификата в браузер, поэтому запомните этот пароль.

В папке /tls сгенерируется файл client-browser.p12.

Удаление сертификатов по умолчанию

Удалите все сертификаты из папки с сертификатами по умолчанию командой в терминале:

sudo rm /var/lib/echelon/komrad/certs/CAs/*
sudo rm /var/lib/echelon/komrad/certs/*

Копирование сертификатов

Скопируйте сертификаты в следующие папки:

  1. Файлы ca.pem, server.pem, server-key.pem, client.pem, client-key.pem в /var/lib/echelon/komrad/certs/ командой терминале:

sudo cp ca.pem server.pem server-key.pem client.pem client-key.pem /var/lib/echelon/komrad/certs/

Внимание! Команда выполняется в одну строчку.

2.Файл ca.pem в /var/lib/echelon/komrad/certs/CAs/ командой:

sudo cp ca.pem /var/lib/echelon/komrad/certs/CAs/

Изменение владельца файлов на komrad:komrad и предоставление прав сертификатам

Введите следующие команды в терминале:

sudo chown komrad:komrad  /etc/echelon/komrad/license/имя_лицензии.lic
sudo chown -R komrad:komrad  /var/lib/echelon/komrad/certs
sudo chmod -R 755 /var/lib/echelon/komrad/certs
sudo chmod 0640 /var/lib/echelon/komrad/certs/server-key.pem
sudo chown root:komrad /var/lib/echelon/komrad/certs/server-key.pem
sudo usermod -a -G komrad postgres
sudo chmod 755 client-browser.p12

Где в имя_лицензии — укажите наименование файла лицензии.

Перезапуск сервисов

Перезагрузите систему.

Установка корневого сертификата в браузере

Выполните следующие действия:

  1. Откройте Firefox → Настройки → Приватность и защита → Сертификаты → Просмотр сертификатов;

  2. Перейдите во вкладку Ваши сертификаты меню Управления сертификатами;

  3. Импортируйте сертификаты ca.pem в «Доверенные корневые центры сертификации» и client-browser.p12 в «Личные», при этом потребуется указать пароль установленный, при генерации браузерного сертификата;

  4. Перезапустите браузер.

Конец

KOMRAD установлен и доступен по адресу localhost.