DetectionEdge 安裝說明手冊V2.4 - secbuzzer/DetectionEdge GitHub Wiki
硬體配備需求依不同目的而有所差異,可參照DetectionEdge 硬體規格建議進行適合自己的評估,若僅測試基本功能,可以使用最小規格(小於100Mbps)進行驗證,若在較大的場域中測試,則硬體依場域需求或流量大小而有所變更。
- Linux系統:Ubuntu 18.04.live-server-amd64
- 確認OS是否有支援SSH,未支援者可執行以下指令進行安裝。
sudo apt-get install openssh-server
- 確認時間/時區是否正確 (請設置台灣時區)
sudo timedatectl set-timezone Asia/Taipei
至連結下載DetectionEdge安裝包,並使用慣用的傳輸工具將檔案傳輸至Ubuntu OS當中,例如:Linux SCP指令、FTP軟體。
-
安裝包下載連結: DetectionEdge
-
安裝包雜湊值:8f1a5573c455a9331ada495791bb0dcf4b0e2832
此處以scp指令作為範例:(為示意圖,若檔案有版本號請再自行調整指令。)
請執行以下指令查看網卡名稱,並記住裝置對應的網卡名稱(Interface),後續需於組態檔中設置。(畫面為範例請將監控鏡像流量與雲端拋轉的網卡分開,共2張)
ifconfig
確認欲受監控的鏡像流量接已有正確導入至Edge主機中,可透過tcpdump及vnstat檢測是否已完成導入鏡像。
- tcpdump工具:檢查封包內容來源及目的,是否符合導入鏡像流量網段。
sudo tcpdump -i <網卡名稱> -nn
- vnstat工具:檢查網卡流量大小,是否符合導入鏡像流量大小。
sudo apt-get install vnstat
sudo vnstat -i <網卡名稱> -l
確認與ESM雲端平台連線是否接通,若場域中有防火牆防護,則需要開放下列網域或位址:
- 網域名稱:
- api.esm.secbuzzer.co port 80 and 443
- api.hub.secbuzzer.co port 80 and 443
- api.esm.secbuzzer.ai poer 80 and 443
- host-monitor.secbuzzer.co port 30051
- host-monitor.secbuzzer.ai port 30051
欲取得API KEY以及單位代碼,需先登入ESM網站,並由網頁右上角功能選單的取得API Key進入,即可取得相關資訊,建議取得後複製下來,後續安裝設定會使用。
進入Ubuntu中,因安裝過程需使用root
權限,請先進行帳號的切換。
sudo su
將DetectionEdge安裝包於主機中進行解壓縮,指令如下:
tar Jxvf DetectionEdgeVX.X.X.tar.xz (X.X.X代表版本號)
將整個解壓縮出來之detectionEdge目錄,移至 opt 目錄下。
mv detectionEdge /opt/.
移動到detectionEdge目錄,並檢視當前目錄檔案是否都有存在。
cd /opt/detetionEdge/ && ls -l
編輯使用者設定檔(detectionEdge.env):
下方會說明個欄位填寫教學:
元件服務日誌存取目錄位置,預設會存取於與執行軟體相同目錄下。
- DB_MEM
收容資料庫使用記憶體上限,預設值為1024m(個人測試時適用),基本配置原則為總記憶體一半,但最大值為31g。
註:記憶體單位建議用小寫,例如:m
、g
。
- DB_VOLUME_PATH
資料庫存取位置。
- DET_IF_NAME
填寫欲監控的網卡名稱,如有多張網卡以逗號區隔,請勿與雲端溝通為相同網卡,例:eth0,eth1。
- DET_HOME_NET
設定監控的IP或網段,每個IP、網段可使用逗號區隔,支援的格式與範例如下:
DET_HOME_NET=10.0.0.1,192.168.0.1/24,172.16.1.1/24
此部分為拋轉萃取後的事件資料的控制設定。
- ESM_IF_NAME
填寫拋轉至雲端的網卡名稱,會將觸發後事件及主機的資訊拋轉至雲端ESM平台。
- ESM_API_KEY
從ESM網站上取得的 API KEY,請參考取得帳戶API KEY資訊。
- ESM_ORG_3CODE
從 ESM 網站上取得單位代碼,請參考取得帳戶API KEY資訊。
- ESM_UPDATE_COUNT
單次事件資訊拋送至ESM的事件數量,預設為1000筆,若無特殊需求建議保持預設。
用來標識開發版與正式版之參數,目前此參數只會出現在開發版,如果要連線正式版的話請移去此參數
DEV_MODE=True
移動至script目錄
cd /opt/detectionEdge/script/
執行setup_host安裝腳本後,會重新檢查安裝前準備所需之設定,如有遺漏會跳出通知信息,請補上設定後再次執行。
./setup_host.sh
註:會安裝軟體所需套件及修改遠端連線預設Port -> 22022、防火牆設定及網卡調整設定以強化主機本身資安,完成後會詢問執行重開機。
執行load_image安裝功能元件容器的images,執行至此已完成安裝。
./load_image.sh
重新連線至主機並移動至detectionEdge目錄
cd /opt/detectionEdge/
執行control_edge控制服務腳本,如需參數說明,可執行-h參數
./control_edge.sh -h
運行服務元件功能
./control_edge.sh -u
查看各元件服務運行狀態是否皆為up
docker ps -a
請聯絡SecBuzzer團隊(客服信箱:[email protected])告知單位並訴說已安裝完成,團隊會進行端點主機開放,即可於雲端檢視。