Cazando Malware (Parte III)
En esta tercera parte vamos a ver la instalación tanto de Elasticsearch como de Kibana.
Comencemos por Elasticsearch:
Parte III A: Instalación y configuración de Elasticsearch
*Nota: Necesita java y al menos 2gb de ram disponibles.Yo recomiendo encarecidamente ponerlo en una máquina aparte de los honeypots, tanto por seguridad como por requisitos del sistema.
Instalamos Java
$ sudo apt-get install openjdk-8-jre
*Nota: En nuestro caso es la versión 5.6.3 Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
Editamos el fichero /etc/elasticsearch/elasticsearch.yml$ curl –O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.3.deb
$ dpkg –i elasticsearch-5.6.3.deb
Iniciamos el serviciocluster.name: mycluster1
node.name: node-1
network.host: 0.0.0.0
http.port: 9200
Comprobamos que el servicio esta levantado correctamente.$ service elasticsearch start
$ service elasticsearch status
Para depurar algún fallo que pudiera ocurrir podemos recurrir a los logs de errores o accesos etc... que se guardan en /var/log/elasticsearch/
*Nota: Los resaltados en rojo son los logs en uso del día actual. El resto son los logs que han ido rotando. Recomiendo meter este directorio en un "crontab" para que solo se guarden los de los últimos 3 meses por ejemplo, así ahorraremos espacio.
Parte III B: Instalación de Kibana
*Nota: Esto puede se puede realizar en nuestra propia máquina local. No hace falta que sea remoto, excepto que lo consideremos estrictamente necesario.Instalamos java
Descargamos e instalamos Kibanasudo apt-get install openjdk-8-jre
*Nota: En nuestro caso es la versión 5.6.3. Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
Editamos ficheros config/kibana.yml$ curl –O https://artifacts.elastic.co/downloads/kibana/kibana-5.6.3-linux-x86_64.tar.gz
$ tar xvfz kibana-5.6.3-linux-x86_64.tar.gz
$ cd kibana-5.6.3-linux-x86_64
*Nota: En caso de utilizar un Elasticsearch remoto, modificar esta línea poniendo la dirección del Elasticsearch al que se va a conectar Kibana para mostrar los datos.$ elasticsearch.url: "localhost:9200"
Ejecutamos Kibana.
$ ./bin/kibana
En este punto ya debería de conectar con el Elasticsearch y funcionar correctamente.
En caso contrario reiniciar los servicios de Logstash de los honeypots debería ser suficiente para que se sincronicen.
La configuración de Kibana es bastante amplia. En el próximo capítulo veremos una serie de conceptos básicos sobre Kibana para un manejo básico del mismo. Además de cómo implementar cierta seguridad, como por ejemplo: enviar los logs del Logstash a Elasticsearch estableciendo una contraseña o de como implementar usuarios y permisos a la hora de entrar al Kibana.
Pero lo dicho eso para la próxima parte.
¡Un saludo a todos!
En caso contrario reiniciar los servicios de Logstash de los honeypots debería ser suficiente para que se sincronicen.
La configuración de Kibana es bastante amplia. En el próximo capítulo veremos una serie de conceptos básicos sobre Kibana para un manejo básico del mismo. Además de cómo implementar cierta seguridad, como por ejemplo: enviar los logs del Logstash a Elasticsearch estableciendo una contraseña o de como implementar usuarios y permisos a la hora de entrar al Kibana.
Pero lo dicho eso para la próxima parte.
¡Un saludo a todos!
Via: www.hackplayers.com
Cazando Malware (Parte III)
Reviewed by Zion3R
on
7:59
Rating: