DetectionEdge 重新安裝手冊V2.4 - secbuzzer/DetectionEdge GitHub Wiki
重新安裝說明
1. 切換管理者控制權限
進入Ubuntu中,因解除安裝過程需使用root權限,請先進行帳號的切換。
sudo su
2. 移至detectionEdge目錄
移動到detectionEdge目錄,並檢視當前目錄檔案是否都有存在。
cd /opt/detetionEdge/ && ls -l
3. 關閉運行中元件服務
./control_edge.sh -d
4. 移至script目錄
移動至script目錄
cd /opt/detectionEdge/script/
5. 執行remove_host控制本
執行remove_host控制腳本,看見 Success 訊息即表示解除安裝完畢。
./remove_host.sh
6. 完成解除安裝
執行檢查指令檢查docker運作狀態,可發現套件已被移除,即表示解除安裝完成。
docker images
- 若有新版本,需移除舊版本目錄,更換為新版本安裝執行目錄。
7. 移動至detectionEdge目錄
移動到detectionEdge目錄,並檢視當前目錄檔案是否都有存在。
cd /opt/detetionEdge/ && ls -l
8. 設定env設定檔:
編輯使用者設定檔(detectionEdge.env):
下方會說明個欄位填寫教學:
8.1 Logs Folder
元件服務日誌存取目錄位置,預設會存取於與執行軟體相同目錄下。
8.2 Database
- DB_MEM
收容資料庫使用記憶體上限,預設值為1024m(個人測試時適用),基本配置原則為總記憶體一半,但最大值為31g。
註:記憶體單位建議用小寫,例如:m
、g
。
- DB_VOLUME_PATH
資料庫存取位置。
8.3 Detection
- DET_IF_NAME
填寫欲監控的網卡名稱,如有多張網卡以逗號區隔,請勿與雲端溝通為相同網卡,例:eth0,eth1。
- DET_HOME_NET
設定監控的IP或網段,每個IP、網段可使用逗號區隔,支援的格式與範例如下:
DET_HOME_NET=10.0.0.1,192.168.0.1/24,172.16.1.1/24
8.4 ESM
此部分為拋轉萃取後的事件資料的控制設定。
- ESM_IF_NAME
填寫拋轉至雲端的網卡名稱,會將觸發後事件及主機的資訊拋轉至雲端ESM平台。
- ESM_API_KEY
從ESM網站上取得的 API KEY,請參考取得帳戶API KEY資訊。
- ESM_ORG_3CODE
從 ESM 網站上取得單位代碼,請參考取得帳戶API KEY資訊。
- ESM_UPDATE_COUNT
單次事件資訊拋送至ESM的事件數量,預設為1000筆,若無特殊需求建議保持預設。
8.5 開發測試環境
用來標識開發版與正式版之參數,目前此參數只會出現在開發版,如果要連線正式版的話請移去此參數
DEV_MODE=True
9. 執行安裝腳本:
9.1 移動至 script 目錄
移動至script目錄
cd /opt/detectionEdge/script/
9.2 執行 setup_host 腳本
執行setup_host安裝腳本後,會重新檢查安裝前準備所需之設定,如有遺漏會跳出通知信息,請補上設定後再次執行。
./setup_host.sh
註:會安裝軟體所需套件及修改遠端連線預設Port -> 22022、防火牆設定及網卡調整設定以強化主機本身資安,完成後會詢問執行重開機。
9.3 執行 load_image 腳本
執行load_image安裝功能元件容器的images,執行至此已完成安裝。
./load_image.sh
10. 執行DetectionEdge:
10.1 返回detectionEdge目錄
重新連線至主機並移動至detectionEdge目錄
cd /opt/detectionEdge/
10.2 執行control_edge控制服務開關
執行control_edge控制服務腳本,如需參數說明,可執行-h參數
./control_edge.sh -h
運行服務元件功能
./control_edge.sh -u
11. 驗證功能是否正常:
查看各元件服務運行狀態是否皆為up
docker ps -a
12. 完成安裝:
請聯絡SecBuzzer團隊(客服信箱:[email protected])告知單位並訴說已安裝完成,團隊會進行端點主機開放,即可於雲端檢視。