Tâche #18095
Scénario #16520: Mettre à disposition les paquets de la suite ELK pour EOLE 2.6
Mettre à disposition un paquet suricata (tâche bonus)
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Restant à faire (heures):
0.0
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Sujet changé de Mettre à disposition un paquet suricata à Mettre à disposition un paquet suricata (tâche bonus)
#2 Mis à jour par Gérald Schwartzmann il y a plus de 7 ans
#Suricata 3.2 is out
#4 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Restant à faire (heures) changé de 4.0 à 3.5
Suricata (Stable) version is 3.2.1 released February 15, 2017.
PPA : https://launchpad.net/~oisf/+archive/ubuntu/suricata-stable
root@eolebase:~# dpkg -i suricata_3.2.1-0ubuntu2_amd64.deb Sélection du paquet suricata précédemment désélectionné. (Lecture de la base de données... 111926 fichiers et répertoires déjà installés.) Préparation du dépaquetage de suricata_3.2.1-0ubuntu2_amd64.deb ... Dépaquetage de suricata (3.2.1-0ubuntu2) ... dpkg: des problèmes de dépendances empêchent la configuration de suricata : suricata dépend de libhiredis0.13 (>= 0.13.1) ; cependant : Le paquet libhiredis0.13 n'est pas installé. suricata dépend de libhtp1 ; cependant : Le paquet libhtp1 n'est pas installé. suricata dépend de libjansson4 (>= 2.2) ; cependant : Le paquet libjansson4 n'est pas installé. suricata dépend de libluajit-5.1-2 ; cependant : Le paquet libluajit-5.1-2 n'est pas installé. suricata dépend de libnetfilter-queue1 ; cependant : Le paquet libnetfilter-queue1 n'est pas installé. suricata dépend de libluajit-5.1-common ; cependant : Le paquet libluajit-5.1-common n'est pas installé. suricata dépend de libluajit-5.1-dev ; cependant : Le paquet libluajit-5.1-dev n'est pas installé. dpkg: erreur de traitement du paquet suricata (--install) : problèmes de dépendances - laissé non configuré Traitement des actions différées (« triggers ») pour ureadahead (0.100.0-19) ... Traitement des actions différées (« triggers ») pour systemd (229-4ubuntu16) ... Traitement des actions différées (« triggers ») pour man-db (2.7.5-1) ... Des erreurs ont été rencontrées pendant l'exécution : suricata root@eolebase:~#
Tous les paquets sont dans la distro :
root@eolebase:~# rm /etc/apt/sources.list.d/oisf-ubuntu-suricata-stable-xenial.list rm : supprimer fichier '/etc/apt/sources.list.d/oisf-ubuntu-suricata-stable-xenial.list' ? y root@eolebase:~# apt-get update Atteint:1 http://test-eole.ac-dijon.fr/eole eole-2.6.1 InRelease Atteint:2 http://eole.ac-dijon.fr/ubuntu xenial InRelease Atteint:3 http://eole.ac-dijon.fr/ubuntu xenial-security InRelease Atteint:4 http://test-eole.ac-dijon.fr/eole eole-2.6.1-security InRelease Atteint:5 http://test-eole.ac-dijon.fr/eole eole-2.6.1-updates InRelease Atteint:6 http://eole.ac-dijon.fr/ubuntu xenial-updates InRelease Atteint:7 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates InRelease Lecture des listes de paquets... Fait root@eolebase:~# apt-cache search libhiredis0.13 libhiredis0.13 - Bibliothèque client C minimaliste pour Redis root@eolebase:~# apt-cache search libhtp1 libhtp1 - HTTP normalizer and parser library root@eolebase:~# apt-cache search libjansson4 libjansson4 - C library for encoding, decoding and manipulating JSON data root@eolebase:~# apt-cache search libluajit-5.1-2 libluajit-5.1-2 - Just in time compiler for Lua - library version root@eolebase:~# apt-cache search libnetfilter-queue1 libnetfilter-queue-dev - Development files for libnetfilter-queue1 libnetfilter-queue1 - Netfilter netlink-queue library libnetfilter-queue1-dbg - Debugging symbols for libnetfilter-queue1 root@eolebase:~# apt-cache search libluajit-5.1-common libluajit-5.1-common - Just in time compiler for Lua - common files root@eolebase:~# apt-cache search libluajit-5.1-dev libluajit-5.1-dev - Just in time compiler for Lua - development files root@eolebase:~#
# apt-get install libhiredis0.13 libhtp1 libjansson4 libluajit-5.1-2 libnetfilter-queue1 libluajit-5.1-common libluajit-5.1-dev
root@eolebase:~# dpkg -i suricata_3.2.1-0ubuntu2_amd64.deb (Lecture de la base de données... 112044 fichiers et répertoires déjà installés.) Préparation du dépaquetage de suricata_3.2.1-0ubuntu2_amd64.deb ... Dépaquetage de suricata (3.2.1-0ubuntu2) sur (3.2.1-0ubuntu2) ... Paramétrage de suricata (3.2.1-0ubuntu2) ... Download and install the latest Emerging Threats Open ruleset \n Downloading... Latest ET Open rule set deployed in /etc/suricata/rules ! Traitement des actions différées (« triggers ») pour ureadahead (0.100.0-19) ... Traitement des actions différées (« triggers ») pour systemd (229-4ubuntu16) ... Traitement des actions différées (« triggers ») pour man-db (2.7.5-1) ... root@eolebase:~#
#5 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- % réalisé changé de 0 à 10
#6 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
Refaire le tutos du hackathon :
http://pcll.ac-dijon.fr/eole/hackathon-compte-rendu-du-groupe-ameliorer-la-securite-des-reseaux-avec-suricata/
Après configuration :
root@eolebase:/etc/suricata# tail /var/log/suricata/suricata-start.log /usr/bin/suricata: error while loading shared libraries: libhtp-0.5.23.so.1: cannot open shared object file: No such file or directory root@eolebase:/etc/suricata#
Génération du eve.json OK
# tail -f /var/log/suricata/eve.json
service suricata restart
root@eolebase:~# tail /var/log/suricata/suricata-start.log 29/3/2017 -- 12:24:33 - <Config> - 'default' server has 'request-body-minimal-inspect-size' set to 33882 and 'request-body-inspect-window' set to 4053 after randomization. 29/3/2017 -- 12:24:33 - <Config> - 'default' server has 'response-body-minimal-inspect-size' set to 42119 and 'response-body-inspect-window' set to 16872 after randomization. 29/3/2017 -- 12:24:33 - <Config> - DNS request flood protection level: 500 29/3/2017 -- 12:24:33 - <Config> - DNS per flow memcap (state-memcap): 524288 29/3/2017 -- 12:24:33 - <Config> - DNS global memcap: 16777216 29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for modbus protocol. 29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for enip protocol. 29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for DNP3. 29/3/2017 -- 12:24:33 - <Info> - Found an MTU of 1500 for 'ens4' 29/3/2017 -- 12:24:33 - <Info> - Found an MTU of 1500 for 'ens4' root@eolebase:~#
#7 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Restant à faire (heures) changé de 3.5 à 3.0
#8 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
Pour vérifier la configuration de Logstash il est possible de l’exécuter manuellement en précisant le fichier de configuration :
# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/01-eole-input.conf
#9 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
# vim /etc/kibana/kibana.yml
#10 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
This version of Kibana requires Elasticsearch v5.3.0 on all nodes. I found the following incompatible nodes in your cluster: v5.2.2 @ 192.168.0.24:9200 (192.168.0.24) :
wget https://artifacts.elastic.co/downloads/kibana/kibana-5.2.2-amd64.deb
#11 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Restant à faire (heures) changé de 3.0 à 2.0
#12 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Statut changé de Nouveau à En cours
#13 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Assigné à mis à Gérald Schwartzmann
#14 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de En cours à Résolu
#15 Mis à jour par Gérald Schwartzmann il y a environ 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 2.0 à 0.0