DetectionEdge 安裝說明手冊V2.4 - secbuzzer/DetectionEdge GitHub Wiki

安裝前準備說明:

硬體配備需求依不同目的而有所差異,可參照DetectionEdge 硬體規格建議進行適合自己的評估,若僅測試基本功能,可以使用最小規格(小於100Mbps)進行驗證,若在較大的場域中測試,則硬體依場域需求或流量大小而有所變更。

1. 適用作業系統:

2. 環境確認項目:

  • 確認OS是否有支援SSH,未支援者可執行以下指令進行安裝。
sudo apt-get install openssh-server
  • 確認時間/時區是否正確 (請設置台灣時區)
sudo timedatectl set-timezone Asia/Taipei

3. 下載安裝包:

至連結下載DetectionEdge安裝包,並使用慣用的傳輸工具將檔案傳輸至Ubuntu OS當中,例如:Linux SCP指令、FTP軟體。

  • 安裝包下載連結: DetectionEdge

  • 安裝包雜湊值:8f1a5573c455a9331ada495791bb0dcf4b0e2832

此處以scp指令作為範例:(為示意圖,若檔案有版本號請再自行調整指令。)

scp_file.png

4. 查看網卡資訊:

請執行以下指令查看網卡名稱,並記住裝置對應的網卡名稱(Interface),後續需於組態檔中設置。(畫面為範例請將監控鏡像流量與雲端拋轉的網卡分開,共2張)

ifconfig

ifconfig.png

5. 流量確認:

確認欲受監控的鏡像流量接已有正確導入至Edge主機中,可透過tcpdump及vnstat檢測是否已完成導入鏡像。

  • tcpdump工具:檢查封包內容來源及目的,是否符合導入鏡像流量網段。
sudo tcpdump -i <網卡名稱> -nn

tcpdump_nic.png

  • vnstat工具:檢查網卡流量大小,是否符合導入鏡像流量大小。
sudo apt-get install vnstat
sudo vnstat -i <網卡名稱> -l

vnstat_nic.png

6. 外部連線測試:

確認與ESM雲端平台連線是否接通,若場域中有防火牆防護,則需要開放下列網域或位址:

  • 網域名稱:
  1. api.esm.secbuzzer.co port 80 and 443
  2. api.hub.secbuzzer.co port 80 and 443
  3. api.esm.secbuzzer.ai poer 80 and 443
  4. host-monitor.secbuzzer.co port 30051
  5. host-monitor.secbuzzer.ai port 30051

7. 取得帳戶API KEY資訊:

欲取得API KEY以及單位代碼,需先登入ESM網站,並由網頁右上角功能選單的取得API Key進入,即可取得相關資訊,建議取得後複製下來,後續安裝設定會使用。

api_get.png

執行安裝說明:

1. 切換管理帳號權限:

進入Ubuntu中,因安裝過程需使用root權限,請先進行帳號的切換。

sudo su

sudo_su.png

2. 解壓縮安裝包:

DetectionEdge安裝包於主機中進行解壓縮,指令如下:

tar Jxvf DetectionEdgeVX.X.X.tar.xz (X.X.X代表版本號)

tar_xz.png

3. 移動至opt/目錄下:

將整個解壓縮出來之detectionEdge目錄,移至 opt 目錄下。

mv detectionEdge /opt/.

mv_file.png

4. 移動至detectionEdge目錄

移動到detectionEdge目錄,並檢視當前目錄檔案是否都有存在。

cd /opt/detetionEdge/ && ls -l

cd_ls.png

4. 設定env設定檔:

編輯使用者設定檔(detectionEdge.env):

env_file.png

下方會說明個欄位填寫教學:

4.1 Logs Folder

元件服務日誌存取目錄位置,預設會存取於與執行軟體相同目錄下。

4.2 Database

  • DB_MEM

收容資料庫使用記憶體上限,預設值為1024m(個人測試時適用),基本配置原則為總記憶體一半,但最大值為31g。

註:記憶體單位建議用小寫,例如:mg

  • DB_VOLUME_PATH

資料庫存取位置。

4.3 Detection

  • DET_IF_NAME

填寫欲監控的網卡名稱,如有多張網卡以逗號區隔,請勿與雲端溝通為相同網卡,例:eth0,eth1。

  • DET_HOME_NET

設定監控的IP或網段,每個IP、網段可使用逗號區隔,支援的格式與範例如下:

DET_HOME_NET=10.0.0.1,192.168.0.1/24,172.16.1.1/24

4.4 ESM

此部分為拋轉萃取後的事件資料的控制設定。

  • ESM_IF_NAME

填寫拋轉至雲端的網卡名稱,會將觸發後事件及主機的資訊拋轉至雲端ESM平台。

  • ESM_API_KEY

從ESM網站上取得的 API KEY,請參考取得帳戶API KEY資訊

  • ESM_ORG_3CODE

從 ESM 網站上取得單位代碼,請參考取得帳戶API KEY資訊

  • ESM_UPDATE_COUNT

單次事件資訊拋送至ESM的事件數量,預設為1000筆,若無特殊需求建議保持預設。

4.5 開發測試環境

用來標識開發版與正式版之參數,目前此參數只會出現在開發版,如果要連線正式版的話請移去此參數

DEV_MODE=True

5. 執行安裝腳本:

5.1 移動至 script 目錄

移動至script目錄

cd /opt/detectionEdge/script/

script_folder.png

5.2 執行 setup_host 腳本

執行setup_host安裝腳本後,會重新檢查安裝前準備所需之設定,如有遺漏會跳出通知信息,請補上設定後再次執行。

./setup_host.sh

setup_host.png

註:會安裝軟體所需套件及修改遠端連線預設Port -> 22022、防火牆設定及網卡調整設定以強化主機本身資安,完成後會詢問執行重開機。

5.3 執行 load_image 腳本

執行load_image安裝功能元件容器的images,執行至此已完成安裝。

./load_image.sh

load_images.png

6. 執行DetectionEdge:

6.1 返回detectionEdge目錄

重新連線至主機並移動至detectionEdge目錄

cd /opt/detectionEdge/

re_cd.png

6.2 執行control_edge控制服務開關

執行control_edge控制服務腳本,如需參數說明,可執行-h參數

./control_edge.sh -h

ctrl_help.png

運行服務元件功能

./control_edge.sh -u

container_up.png

7. 驗證功能是否正常:

查看各元件服務運行狀態是否皆為up

docker ps -a

docker_status.png

8. 完成安裝:

請聯絡SecBuzzer團隊(客服信箱:[email protected])告知單位並訴說已安裝完成,團隊會進行端點主機開放,即可於雲端檢視。

有任何問題歡迎聯絡SecBuzzer團隊(客服信箱:[email protected])

⚠️ **GitHub.com Fallback** ⚠️