[LINUX] Zusammenfassung des Aufbaus des Cyber Threat Information Aggregation Systems (EXIST) und der Malware Information Sharing Platform (MISP) ②

Einführung

―― Ein ehemaliger Kollege erzählte mir von einem OSS, das interessant zu sein scheint, also habe ich es nachgeschlagen und gebaut. ――Hier fühlt es sich an, als würde man die Teile und Verfahren zusammenfassen, die beim Bauen durchlaufen wurden.

• Beim Erstellen mit der ALL-in-One-Methode habe ich beim Hinzufügen von DiskFull-> LVM-> VM-Absturz einen Fehler gemacht, wahrscheinlich aufgrund der erfassten Datengröße. Daher habe ich beschlossen, sie einzeln zu erstellen.
• Ich habe vor, einen Artikel in 3 Teilen zu schreiben (gemeinsamer Teil / EXIST / MISP).

1. Prämisse

• Wir erstellen mit Windows 10pro Hyper-V unter den folgenden Bedingungen. (Allgemein)
• Verwenden Sie VMware oder vBOX nach Ihren Wünschen
• Das Betriebssystem verwendet die neueste Version von CentOS 7 und wird mit verschiedenen VMs erstellt. (Allgemein)
• Da das Verhalten von CentOS 8 selbst in der Verifizierungsumgebung instabil war, hielten wir es für erforderlich, die Ursache separat zu untersuchen und CentOS 7 auszuwählen.
• Alle Build-Konten sind Root-Konten. (Allgemein)
• VM-Ressourcen sind vCPU: 2core, mem: 8 GB, DISK: 50 GB, Netzwerk: IP-Adresse ist feste Verteilung durch Registrieren der MAC-Adresse bei DHCP. (Allgemein)
• Die durchschnittliche Speichernutzung beträgt 6 GB, wenn sie ausgeführt wird --DISK ist 50 GB, da es bei 20 GB 100% überschreitet.
• Installieren Sie Python ver3.6.x mit pyenv. (EXIST)
• Weil in der Version des angegebenen Pakets ein Fehler auftritt, wenn Verison 3.7 oder höher
• Wir werden es ohne venv bauen, aber nur installieren. --git: Ver ist 2.29.x (aktuell im Moment). (Common) ―― 2.x kann alles sein
• Installieren Sie gegebenenfalls wget / curl / tmux / htop. ――Unnötige Menschen können durchmachen
• Deaktivieren Sie Firewall und SElinux auf eigenes Risiko. (Allgemein) --Firewall schloss später das Öffnen von 8000 Ports in die Prozedur ein.
• SElinux ist am Boden deaktiviert

2. OSS-Produktdokumentation

Cyber Threat Information Aggregation System (EXIST) Malware Information Sharing Platform(MISP)

3. Bauinhalt

• pyenv
• Cyber Threat Information Aggregation System (EXIST)

3-1. Installation von pyenv

In Anbetracht des Zwecks dieser Zeit denke ich nicht, dass es notwendig ist, dies mit pyenv zu tun, aber ich werde es hier in Anbetracht zukünftiger Updates tun.

# git clone https://github.com/pyenv/pyenv.git
Cloning into 'pyenv'...
remote: Enumerating objects: 18376, done.
remote: Total 18376 (delta 0), reused 0 (delta 0), pack-reused 18376
Receiving objects: 100% (18376/18376), 3.67 MiB | 2.80 MiB/s, done.
Resolving deltas: 100% (12514/12514), done.

#Wird diesmal möglicherweise nicht benötigt
# git clone https://github.com/pyenv/pyenv-virtualenv.git pyenv/plugins/pyenv-virtualenv
Cloning into 'pyenv/plugins/pyenv-virtualenv'...
remote: Enumerating objects: 2064, done.
remote: Total 2064 (delta 0), reused 0 (delta 0), pack-reused 2064
Receiving objects: 100% (2064/2064), 580.34 KiB | 753.00 KiB/s, done.
Resolving deltas: 100% (1413/1413), done.

#pyenv PATH Einstellung
# vim ~/.bash_profile
export PYENV_ROOT="$HOME/.pyenv"
export PATH="$PYENV_ROOT/bin:/bin:$PATH"
eval "$(pyenv init -)"

#Reflektieren Sie die obigen Einstellungen im angemeldeten Konto
# source ~/.bash_profile

#Installieren Sie die angegebene Version
# pyenv install 3.6.12
Downloading Python-3.6.12.tar.xz...
-> https://www.python.org/ftp/python/3.6.12/Python-3.6.12.tar.xz
Installing Python-3.6.12...
WARNING: The Python bz2 extension was not compiled. Missing the bzip2 lib?
WARNING: The Python readline extension was not compiled. Missing the GNU readline lib?
WARNING: The Python sqlite3 extension was not compiled. Missing the SQLite3 lib?
Installed Python-3.6.12 to /root/.pyenv/versions/3.6.12

#Reflektieren Sie jede Version auf dem System
# pyenv global 3.6.12

#Bestätigung der Reflexion
# python --version

#Aktualisierung des Pip-Befehls(Andernfalls erhalten Sie später eine Fehlermeldung)
# pip install --upgrade pip
pip 18.1 from /root/.pyenv/versions/3.6.12/lib/python3.6/site-packages/pip (python 3.6)
[root@exist opt]# pip install --upgrade pip
Collecting pip
  Downloading https://files.pythonhosted.org/packages/cb/28/91f26bd088ce8e22169032100d4260614fc3da435025ff389ef1d396a433/pip-20.2.4-py2.py3-none-any.whl (1.5MB)
    100% |################################| 1.5MB 7.5MB/s
Installing collected packages: pip
  Found existing installation: pip 18.1
    Uninstalling pip-18.1:
      Successfully uninstalled pip-18.1
Successfully installed pip-20.2.4

Nebenbei: Wenn Sie es anders als pyenv tun möchten, verwenden Sie die folgende Methode (derzeit scheint Version 3.8.6 installiert zu sein).

# yum install python3 python3-libs python3-devel python3-pip
=====================================================================================================================
 Package                             Arch                Version                             Repository         Size
=====================================================================================================================
Installing:
 python3                             x86_64              3.6.8-17.el7                        base               70 k
 python3-devel                       x86_64              3.6.8-17.el7                        base              217 k
 python3-libs                        x86_64              3.6.8-17.el7                        base              6.9 M
 python3-pip                         noarch              9.0.3-8.el7                         base              1.6 M
Installing for dependencies:
 dwz                                 x86_64              0.11-3.el7                          base               99 k
 libtirpc                            x86_64              0.2.4-0.16.el7                      base               89 k
 perl-srpm-macros                    noarch              1-8.el7                             base              4.6 k
 python-rpm-macros                   noarch              3-34.el7                            base              9.1 k
 python-srpm-macros                  noarch              3-34.el7                            base              8.8 k
 python3-rpm-generators              noarch              6-2.el7                             base               20 k
 python3-rpm-macros                  noarch              3-34.el7                            base              8.1 k
 python3-setuptools                  noarch              39.2.0-10.el7                       base              629 k
 redhat-rpm-config                   noarch              9.1.0-88.el7.centos                 base               81 k
 zip                                 x86_64              3.0-11.el7                          base              260 k

Transaction Summary
=====================================================================================================================
Install  4 Packages (+10 Dependent packages)

3-2. Installation von EXIST

• Das Installationsziel wird als "/ opt /" angenommen und mit einem Skript installiert.

# cd ~/
# git clone https://github.com/r4sd/exist_auto_install.git
Cloning into 'exist_auto_install'...
remote: Enumerating objects: 24, done.
remote: Counting objects: 100% (24/24), done.
remote: Compressing objects: 100% (18/18), done.
remote: Total 24 (delta 6), reused 20 (delta 5), pack-reused 0
Receiving objects: 100% (24/24), 6.83 KiB | 3.42 MiB/s, done.
Resolving deltas: 100% (6/6), done.

#
# cd exist_auto_install/
# . exist_install.sh
[info] Repository file successfully written to /etc/yum.repos.d/mariadb.repo
[info] Adding trusted package signing keys...
[info] Successfully added trusted package signing keys
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Including mirror: ftp.tsukuba.wide.ad.jp
Including mirror: ftp.jaist.ac.jp
Including mirror: ftp.iij.ad.jp
Including mirror: ftp.yz.yamagata-u.ac.jp
Including mirror: ftp.nara.wide.ad.jp
 * base: ftp.tsukuba.wide.ad.jp
Including mirror: ftp.ne.jp
Including mirror: ftp.yz.yamagata-u.ac.jp
 * elrepo: ftp.ne.jp
Including mirror: ftp.yz.yamagata-u.ac.jp
 * epel: ftp.yz.yamagata-u.ac.jp
Including mirror: ftp.tsukuba.wide.ad.jp
Including mirror: ftp.jaist.ac.jp
Including mirror: ftp.iij.ad.jp
　　　|
　　　|
Kürzung
　　　|
　　　|
Nothing to do

------------------------------------------------
Please execute [ systemctl start exist.service ]


Admin (root) DB Password: [Zufallszahl]
User (exist) DB Password: [Zufallszahl]

#
# systemctl start exist.service

4. Greifen Sie auf die Site zu

• Greifen Sie über Ihren Browser auf http: // [Server-IP-Adresse: 8000] zu.

5. Am Ende

• Da die manuelle Installation kompliziert ist (obwohl ich daran gewöhnt bin), habe ich ein Skript vorbereitet, aber mehr als einen Tag damit verbracht, Probleme im Detail zu erstellen.
• Dank der Vereinfachung des Codes und der Vertiefung des Verständnisses des Kooperationsteils ist das Ergebnis in Ordnung (* ´ω ｀ *) ――Nächste ist die Konstruktion von MISP, aber fügen Sie vorher API-Registrierung usw. sofort oder UP mit 2.5 hinzu.

6. Referenzseite / Vielen Dank

nict-csl/exist Aufbau eines EXIST-Systems zur Aggregation von Informationen über Cyber-Bedrohungen Ich habe NICT EXIST installiert Ich habe versucht, die SOC-Eigenkonstruktion EX #EXIST zu erstellen MISP vodkappa/misp-install-centos-7 EXPECT MariaDB 10.4.1 ~ Benutzerauthentifizierung ist eine chaotische Geschichte Mins/mysql_secure.sh