Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Datenbank-Setup

Das Setup der Datenbank erfordert nur wenige Schritte. Wichtig ist, dass vor dem Setup das Paket libpreludedb-mysql installiert wird. Es sorgt dafür, dass alle notwendigen Dateien für das Setup der Datenbank vorhanden sind. Das Paket libpreludedb wird an dieser Stelle ebenfalls als Abhängigkeit installiert. Es stellt einen Abstraktionslayer dar, um IDMEF-Meldungen speichern zu können – unabhängig davon, welche Datenbank letztendlich zum Einsatz kommt. Es wird an dieser Stelle vorausgesetzt, dass das Datenbank-Paket selbst bereits installiert und initialisiert wurde. Da die Datenbanken nur vom Prelude-Manager und vom Prewikka-System aus erreichbar sein müssen, bietet es sich an, den Service nur an das Loopback-Device zu binden. Voraussetzung hierfür ist natürlich, dass Prelude, MySQL und Prewikka auf dem gleichen System laufen.

Schließlich müssen Sie das Management-System innerhalb von Prelude registrieren und anschließend den Dienst starten:

# prelude-admin add "prelude-manager" --uid 0 --gid 0
...
# service start prelude-manager

Hat alles soweit geklappt, sollte der Aufruf der URL "http://Server/prewikka" den Startbildschirm der Prewikka Console zeigen. Als Default-Login steht der Account "admin/admin" zur Verfügung. Natürlich lässt sich die Apache-Konfiguration aus Listing 3 nach Bedarf anpassen, sodass der Server beispielsweise nur aus bestimmten Netzen erreichbar ist oder die Kommunikation zwischen Prewikka und Client mit TLS geschützt ist.

Listing 3: /etc/httpd/conf/httpd.conf



<VirtualHost 192.168.1.100>
      ServerName prewikka.example.com
      WSGIApplicationGroup %{GLOBAL}
      WSGIScriptAlias / /usr/share/prewikka/prewikka.wsgi/VirtualHost>

Listing 4: Datenbank-Setup



# yum install libpreludedb-mysql
# mysql -u root
MariaDB [(none)]> CREATE DATABASE prelude;
      Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> CREATE DATABASE prewikka;
      Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> CREATE USER 'prelude'@' localhost' IDENTIFIED BY 'prelude';
      Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> GRANT ALL PRIVILEGES ON prelude.* TO 'prelude'@'localhost';
      Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> GRANT ALL PRIVILEGES ON prewikka.* TO 'prelude'@'localhost';
      Query OK, 0 rows affected (0.00 sec)

Correlator Engine installieren

Bevor es an das Setup der ersten Prelude-Agenten geht, sollten Sie vorher noch die Python-basierte Correlator Engine installieren. Sie erlaubt, basierend auf den vorhandenen Regeln, eine automatische Analyse und Korrelation der Datenstreams und Alerts. Die Anzahl der Default-Regeln unterscheidet sich dabei zwischen der OSS- und der SIEM-Variante von Prelude. Über die Konfigurationsdatei ""/etc/prelude-correlator/prelude-correlator.conf" aktivieren und konfigurieren Sie die einzelnen Regeln. Die Installation dieser Prelude-Komponente erfolgt wieder auf dem Management-System mit Hilfe des Paketmanagers yum:

# yum install prelude-correlator

Die Engine müssen Sie, wie auch später die einzelnen Agenten, in Prelude registrieren. Hierfür starten Sie zuerst den Registrierungsdienst:

# prelude-admin registration-server prelude-manager
The "bg4t713i" password will be requested by "prelude-admin register" in order to connect. Please remove the quotes before using it.

In einem anderen Terminal nehmen Sie dann die Registrierung vor. Zur Authentifizierung geben Sie das Passwort ein, das der Registrierungsdienst eben generiert hat:

# prelude-admin register "prelude-correlator" "idmef:rw" 127.0.0.1 --uid 0 --gid 0
Generating 2048 bits RSA private key... This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress...
...

Nach der Eingabe des Passwortes sollte die Verbindung zum Registrierungsdienst hergestellt werden und die Registrierung damit abgeschlossen sein. Über die Webconsole Prewikka zeigen Sie an, welche Sensoren Prelude kennt und wie deren Online-Status ist (Bild 3).

Bild 3: Prewikka zeigt den Status der Prelude Agenten an.

Link-Codes

[1] Prelude-Projektseite: https://www.prelude-siem.org/

[2] Intrusion-Detection-Message-Exchange-Format (IDMEF): https://www.ietf.org/rfc/rfc4765.txt/

[3] Vergleich OSS- und SIEM-Version: http://www.prelude-siem.com/en/products/choose-your-version/

[4] Prelude-Installationspakete: https://www.prelude-siem.org/projects/prelude/wiki/InstallingPackage/

[5] EPEL Release RPM für CentOS 6: https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm/

[6] Prelude Manager als Docker Container: https://github.com/Prelude-SIEM-Contrib/docker-prelude-siem/

[7] Prelude-Kompatibilität: https://www.prelude-siem.org/projects/prelude/wiki/PreludeCompatibility/

[8] Snort-Signaturen: https://www.snort.org/products#rule_subscriptions/

[9] Eigene Sensoren für Prelude entwickeln: https://www.prelude-siem.org/projects/prelude/wiki/DevelAgentBuilding/

[10] Prelude Agent Contribution Programm: https://www.prelude-siem.org/projects/prelude/wiki/PreludeAgentContribution/

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite