LittleBeat обновлен

Как видно на картинке, старенький LittleBeat переделан под новый стек ELK 5.5.

Новую функциональность он пока не приобрел, но я над этим работаю. В планах добавить Host IDS и Network IDS (OSSEC и Suricata, соответственно). OSSEC будет не стандартный, а форк от Wazuh. Он получше будет, а еще у него есть RESTful API. Suricata будет 4.0. Будет два варианта установки All-in-One и отдельно LittleBeat и IDS-sensor. А еще появится LittleBeat-UEBA. Уебу я напишу свою, на движке Redis. Еще не начал, но уже представляю себе конструкцию вполне ясно. Будет очень простая и совсем автоматическая штука, никаких языков правил.

Я отказался от Debian в качестве основой ОС. Новый LittleBeat сделан на Ubuntu Server 16.04 LTS.

Для установки необходима виртуальная или физическая машина Ubuntu Server 16.04 LTS. Рекомендуется минимальная установка системы с дистрибутива с выбором только сервера SSH и стандартных системных утилит в качестве дополнительных опций. Рекомендуется статическая настройка IP или фиксация адреса на сервере DHCP.

Во время установки необходим доступ в Интернет, как для доступа к репозиториям, так и для установки дополнительных плагинов Logstash.

Рекомендуется не менее 8 ГБ оперативной памяти. Мощность процессоров значения не имеет, процессор класса Intel Atom х64 вполне подойдет. Рекомендуемый объем дисковой памяти не менее 100 ГБ, скорость дисковой подсистемы существенного значения не имеет.

Рекомендуется иметь в сети сервис DNS и настроенные записи PTR для хостов, но это не обязательно.

После установки, на аплаенсе появится общедоступная (только для чтения) SMB-папка agents. В ней будут находиться сконфигурированные агенты Winlogbeat и Metricbeat и скрипты для их автоматической установки. Их можно использовать как для ручной установки на хосты, так и для какой-либо системы автоматической установки (проверено с MS System Center Configuration Manager). Кроме того в этой же папке находится файл win-audit-set.bat, которым можно настроить политику аудита Windows, в том числе «Домашней версии», не имеющей соответствующего редактора политик. Этот файл не зависит от языка системы, поскольку использует GUID идентификаторы политик, а не их названия.

Коммуникации между агентами и сервером закрываются посредством SSL. Используется самоподписанный сертификат сервера, который создается в процессе установки и конфигурации аплаенса.

Установка

Во время установки на вашем сервере будет создан пользователь little (пароль вы зададите сами). Этому пользователю будут заданы uid=0 и gid=0, то есть он станет рутом

Образ диска здесь: littlebeat-5.5.001.iso

Для работы с виртуальной машиной просто подключите littlebeat-5.5.001.iso в качестве cdrom, для работы с физической машиной создайте из этого образа cdrom или flashdrive, или скопируйте littlebeat-5.5.001.iso на машину, например, используя WinSCP, и смонтируйте его в какую-нибудь папку.

Перейдите в папку, в которую смонтировали диск, сделайтесь рутом (sudo su) и запустите скрипт run.sh.

Пример для запуска с cdrom:

    mkdir ~/littlebeat
    sudo mount -t iso9660 -o ro /dev/cdrom ~/littlebeat
    cd ~/littlebeat
    sudo su
    bash run.sh

Пример для запуска со смонтированного iso:

    mkdir ~/littlebeat
    sudo mount -t iso9660 -o loop ~/littlebeat-5.5.001.iso ~/littlebeat
    cd ~/littlebeat
    sudo su
    bash run.sh

Подключитесь к консоли аплаенса от имени пользователя little и продолжайте установку и настройку системы (запустится последовательность меню). После завершения установки появится основное меню управления системой. Рекомендуется сразу настроить здесь обзор IP сетей и запустить его (обзор также запускается автоматически, кроном, каждые 2 часа).
Затем в браузере на своей рабочей машине заходите на https://you_littlebeat_host/. Если пойдете обычным http, будет редирект на https.

Удаленное управление аплаенсом ssh little@you_littlebeat_host, откроется shell с консолью управления. Если подключиться под другим пользователем, то откроется обычный shell ubuntu.

Код проекта на gitHUB. Вот здесь https://github.com/ESGuardian/LittleBeat/tree/v-5.5.001

Пока всё.

Реклама

LittleBeat обновлен: 2 комментария

  1. Отличная работа. Образ понравился, устанавливается в автоматическом режиме. Все доступно и понятно. А как Вы устанавливаете beats с GPO ? Я когда свои ставил писал bat-ник на регистрацию служб и паковал это все в msi. (судя по всему костыль)

    Нравится

    • С GPO не устанавливал. Использовал System Center. Собственно bat-файл в комплекте когда-то был сделан именно для SCCM, но годится и для ansible или puppet. Bat в msi — вполне нормальный костыль. Просто и эффективно.

      Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s