重新安裝說明

1. 切換管理者控制權限

進入Ubuntu中，因解除安裝過程需使用root權限，請先進行帳號的切換。

sudo su

2. 移至detectionEdge目錄

移動到detectionEdge目錄，並檢視當前目錄檔案是否都有存在。

cd /opt/detetionEdge/ && ls -l

3. 關閉運行中元件服務

./control_edge.sh -d

4. 移至script目錄

移動至script目錄

cd /opt/detectionEdge/script/

5. 執行remove_host控制本

執行remove_host控制腳本，看見 Success 訊息即表示解除安裝完畢。

./remove_host.sh

6. 完成解除安裝

執行檢查指令檢查docker運作狀態，可發現套件已被移除，即表示解除安裝完成。

docker images

• 若有新版本，需移除舊版本目錄，更換為新版本安裝執行目錄。

7. 移動至detectionEdge目錄

移動到detectionEdge目錄，並檢視當前目錄檔案是否都有存在。

cd /opt/detetionEdge/ && ls -l

8. 設定env設定檔：

編輯使用者設定檔(detectionEdge.env)：

下方會說明個欄位填寫教學：

8.1 Logs Folder

元件服務日誌存取目錄位置，預設會存取於與執行軟體相同目錄下。

8.2 Database

• DB_MEM

收容資料庫使用記憶體上限，預設值為1024m(個人測試時適用)，基本配置原則為總記憶體一半，但最大值為31g。

註：記憶體單位建議用小寫，例如：m、g。

• DB_VOLUME_PATH

資料庫存取位置。

8.3 Detection

• DET_IF_NAME

填寫欲監控的網卡名稱，如有多張網卡以逗號區隔，請勿與雲端溝通為相同網卡，例：eth0,eth1。

• DET_HOME_NET

設定監控的IP或網段，每個IP、網段可使用逗號區隔，支援的格式與範例如下：

DET_HOME_NET=10.0.0.1,192.168.0.1/24,172.16.1.1/24

8.4 ESM

此部分為拋轉萃取後的事件資料的控制設定。

• ESM_IF_NAME

填寫拋轉至雲端的網卡名稱，會將觸發後事件及主機的資訊拋轉至雲端ESM平台。

• ESM_API_KEY

從ESM網站上取得的 API KEY，請參考取得帳戶API KEY資訊。

• ESM_ORG_3CODE

從 ESM 網站上取得單位代碼，請參考取得帳戶API KEY資訊。

• ESM_UPDATE_COUNT

單次事件資訊拋送至ESM的事件數量，預設為1000筆，若無特殊需求建議保持預設。

8.5 開發測試環境

用來標識開發版與正式版之參數，目前此參數只會出現在開發版，如果要連線正式版的話請移去此參數

DEV_MODE=True

9. 執行安裝腳本：

9.1 移動至 script 目錄

移動至script目錄

cd /opt/detectionEdge/script/

9.2 執行 setup_host 腳本

執行setup_host安裝腳本後，會重新檢查安裝前準備所需之設定，如有遺漏會跳出通知信息，請補上設定後再次執行。

./setup_host.sh

註：會安裝軟體所需套件及修改遠端連線預設Port -> 22022、防火牆設定及網卡調整設定以強化主機本身資安，完成後會詢問執行重開機。

9.3 執行 load_image 腳本

執行load_image安裝功能元件容器的images，執行至此已完成安裝。

./load_image.sh

10. 執行DetectionEdge：

10.1 返回detectionEdge目錄

重新連線至主機並移動至detectionEdge目錄

cd /opt/detectionEdge/

10.2 執行control_edge控制服務開關

執行control_edge控制服務腳本，如需參數說明，可執行-h參數

./control_edge.sh -h

運行服務元件功能

./control_edge.sh -u

11. 驗證功能是否正常：

查看各元件服務運行狀態是否皆為up

docker ps -a

12. 完成安裝：

請聯絡SecBuzzer團隊(客服信箱：[email protected])告知單位並訴說已安裝完成，團隊會進行端點主機開放，即可於雲端檢視。