Meerkatのインストール

印刷に優しい, PDF & Email

この投稿では、DebianにMeerkatをインストールするために従う必要のある手順について説明します 10.6. Meerkatは高性能ネットワークエンジンです, IDSとして (侵入検知システム), IPSの (侵入防止システム) ネットワーク監視システムとして利用, そしてもちろん, オープンソース!

Meerkatのおかげで、ネットワークで何が起こっているかをリアルタイムで知ることができます, 私たちは何が起こっているのかを学ぶことができるでしょう, どのマシンがどのマシンと通信するか… とりわけ, 興味のあるトラフィックに通知するルールを作成できるようになります, 爆発的. 別のドキュメントでは、Meerkatによって収集されたデータをElasticsearchにエクスポートする方法を見ていきます, などなど, KibanaまたはGrafanaを使用して、上記のトラフィックを視覚化できるようにします.

Debian Busterの実行中にmeerkatをインストールします:

エコー "デブHTTP://http.debian.net/debian バスター-バックポートメイン" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

Meerkat設定ファイル (/etc/meerkat/meerkat.yaml) 少なくとも、トラフィックをリッスンするネットワークインターフェイスの名前を正しく記述する必要があります, ローカルIP範囲が何であるかを定義でき、1行の単純なビューで出力が必要な場合は有効にします (Snortのように):

AFパケット:
  - インターフェイス: ENS192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

出力:
  - 速い:
      有効: はい ファイル名: fast.log追加: はい

 

Oinkmasterは以前にインストールしました, これを使用して、ルールを管理し、最新の状態に保ちます. 設定ファイル内 (/etc/oinkmaster.conf) 以下のURLを追加します:

URL = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

ルールの再読み込みと更新:

SystemCTL 再起動 Meerkata SystemCTL ステータス Meerkat Surycat-oinkmaster-updater

 

前述したように, ルール付きのファイルを作成できます (/etc/meerkat/rules/myrules.rules), たとえば、この最初の, ICMPトラフィックがあることを検出した場合 (出発地から目的地まで) ログファイルにログを生成します. そのため、誰かがpingを送信していることを検出すると、通知されます, 足す:

アラート ICMP any any -> 任意の (メッセージ(Msg): "ICMPが検出されました";)

 

Meerkat設定ファイルで示す必要があることを忘れないでください (/etc/meerkat/meerkat.yaml) 定義したルールを含むファイルの名前:

ルールファイル:
  ...
  - myrules.rules

 

Meerkatをリセットして、最新の変更点を読みやすくします:

Systemctl Restart Meerkat Systemctl Meerkat Status

 

また、どのコンピューターからでも任意のIPに対してPINGを作成でき、指定した出力に記録する必要があります:

ピン 8.8.8.8
tail -f /var/log/meerkat/eve.json tail -f /var/log/meerkat/fast.log

 

今のところ、可能性を知ることができるのはとてもクールです, 私たちはミーアキャットが見ているものすべてを記録することができます. 仮想マシンとしてデプロイした場合は、, 無差別モードを有効にする必要があります, または、スイッチが, これにより、すべてのトラフィックがポートにリダイレクトされます. ここでは、他の初期ルールの例をいくつか紹介します:

TCPに警告 any any -> 任意の (コンテンツ:"Gmailの"; メッセージ(Msg): "Gmailを検出します"; シド:1000002;)
アラート ICMP any any -> 任意の (メッセージ(Msg): "ICMPが検出されました";)
alert icmp $HOME_NET any -> $EXTERNAL_NET (メッセージ(Msg): "出力 ICMP 検出"; シド:1; 回転:1; クラスタイプ:icmpカスタムイベント;)
alert icmp $EXTERNAL_NET any -> $HOME_NET (メッセージ(Msg): "入力 ICMP が検出されました"; シド:2; 回転:1; クラスタイプ:icmpカスタムイベント;)
alert icmp $HOME_NET any -> $HOME_NET (メッセージ(Msg): "ローカルネットワーク上のICMPが検出されました"; シド:3; 回転:1; クラスタイプ:icmpカスタムイベント;)
alert tcp $EXTERNAL_NET any -> $HOME_NET (メッセージ(Msg): "LANへのインターネット接続"; シド:5; 回転:1;)
アラート TCP 192.168.1.254 任意-> 192.168.1.XXX任意の (メッセージ(Msg): "Jitsiへのインターネット接続"; シド:6; 回転:1;)
アラート TCP 192.168.1.254 任意-> 192.168.1.XXX任意の (メッセージ(Msg): "Grafanaへのインターネット接続"; シド:7; 回転:1;)
アラート TCP 192.168.1.254 任意-> 192.168.1.XXX任意の (メッセージ(Msg): "NextCloudへのインターネット接続"; シド:8; 回転:1;)
アラート TCP 192.168.1.254 任意-> 192.168.1.XXX任意の (メッセージ(Msg): "OTRSへのインターネット接続"; シド:9; 回転:1;)
TCPに警告 any any -> 192.168.1.XXX任意の (メッセージ(Msg): "Citrixへのインターネット接続"; シド:10; 回転:1;)

そして私が言ったこと, これは、Meerkatのインストール方法と組み立て方法を確認する最初のドキュメントです。, 将来のドキュメントで開発を続けることを完全に機能させる方法, 少なくとも、Elasticsearchで述べたように、それを保存し、GrafanaまたはKibanaで視覚化する意図で, 味わう.

おすすめの投稿

Prometheus と Grafana による Ping メトリクス
読む
ElastAlert のルールとアラート 2
読む
FortiGateのメトリックとPrometheusおよびGrafana
読む
Prometheus と Grafana を使用した Windows メトリック
読む

著者

によって エクトル・エレーロ 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 私に連絡することを躊躇しないでください, できる限りお手伝いします, シェアリングは生きていること ;) . ドキュメントを楽しむ!!!

ITのためのポッドキャスト - ホームアシスタント付きのスマートホーム - パートI

14 12月de 2020

ITのためのポッドキャスト - すべては 2020

14 1月の 2021