Перейти к содержанию

Установка Платформы Радар

Для наглядности наши специалисты подготовили видео фрагмент установки SIEM "Платформа Радар"

Подготовка установочных файлов Платформы Радар

Подключитесь по SSH к Платформе Радар, используя полученный IP-адрес стенда и логин.

Внимание! Для запуска установки необходимо получить права суперпользователя.

Перейдите в каталог /var/tmp: 

cd /var/tmp/

Далее загрузите установочный архив, например, командой curl. Командой ls убедитесь, что установочный архив успешно загружен и находится в каталоге /var/tmp (см. рисунок 1):
Загрузка установочного архива
Рисунок 1 -- Загрузка установочного архива

Если скачан зашифрованный архив (файл с расширением *.enc), выполните команду для расшифровки: 

openssl enc -aes-256-cbc -d -in pgr-RELEASE_VERSION-INSTALLATION_TYPE.tar.gz.enc | tar xz

Если скачан незашифрованный архив (файл с расширением *.tar.gz), выполните команду для разархивирования: 

tar -zxvf pgr-RELEASE_VERSION-INSTALLATION_TYPE.tar.gz

Где название архива pgr-RELEASE_VERSION-INSTALLATION_TYPE.tar.gz.enc содержит: - RELEASE_VERSION - номер версии релиза Платформы Радар (например 3.3.1); - INSTALLATION_TYPE - тип установки (online или offline).

Командой ls убедитесь, что установочный скрипт install.sh расположен в директории /var/tmp/ после распаковки установочного архива.

Запуск инсталляционного скрипта и первичная установка системы{#start_instll}

Внимание! Перед запуском установки убедитесь, что сервер, на котором устанавливается Платформа Радар, подключен к сети Интернет.

Для корректной установки Платформы Радар в ОС Debian должна быть задана переменная PATH, содержащая полный список необходимых путей: /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin. В случае, если переменная PATH не содержит путей /usr/sbin и /sbin, их следует добавить вручную.

  1. Находясь в директории /var/tmp, выполните команду bash install.sh. Для выполнения команды с правами суперпользователя используйте команду sudo. Например, sudo bash install.sh.
  2. Установка занимает некоторое время, в течение которого загружаются и устанавливаются модули Платформы Радар. Далее укажите внешний IP-адрес и доменное имя сервера (необязательно), на котором будет установлена Платформа Радар (см. рисунок 2).
    Указание IP-адреса и имени сервера
    Рисунок 2 -- Указание IP-адреса и имени сервера
  3. Через некоторое время установка будет закончена на экране появится сообщение об успешном завершении:
    Продолжите установку по адресу: `http://<УКАЗАННЫЙ ВАМИ IP>/install`  
Логин/Пароль по умолчанию - `admin/admin`

Продолжение установки и настройки Платформы Радар

  1. После перехода по адресу, указанному в конце работы инсталлятора (см. раздел "Запуск инсталляционного скрипта и первичная установка системы"), необходимо пройти процедуру авторизации (admin\admin) и смены пароля по умолчанию согласно руководству пользователя. После прохождения авторизации станет доступен этап получения лицензии Платформы Радар (подробнее см. раздел "Первичная активация лицензии")
  2. После активации лицензии нажмите кнопку далее, после чего будет отображен экран глобальных настроек (см. рисунок 3).

Экран продолжения установки Платформы Радар
Рисунок 3 -- Экран продолжения установки Платформы Радар

  1. На данном экране нажмите на кнопку "Далeе" и перейдите на экран настройки узлов (см. рисунок 4).

Экран настройки узлов Платформы Радар
Рисунок 4 -- Экран настройки узлов Платформы Радар

  1. В разделе настройки узлов в случае установки на один сервер необходимо назначить все возможные серверные роли с помощью кнопки "Добавить все".
  2. Далее перейдите к шагу "Установка" нажатием кнопки "Далее".

Запуск установки

  1. На экране старта установки (см. рисунок 5) нажмите на кнопку "Начать установку". После этого станет доступен экран просмотра журнала установки (см. рисунок 6).

Экран старта установки
Рисунок 5 -- Экран старта установки

Процесс установки
Рисунок 6 -- Процесс установки

  1. Установка занимает некоторое время. По завершению процесса установки откроется Платформа Радар в меню администрирования Кластер - Узлы системы - Проверка.

На этом установка Платформы Радар завершена, можно переходить к этапу проверки работоспособности ПО.

Проверка работоспособности ПО

Проверка работоспособности ПО включает в себя шаги по проверке на наличие в разделе управления кластером "Кластер" незапущенных сервисов и ошибок в журналах сервисов.

  1. Для выполнения проверки необходимо перейти в меню администрирования "Кластер" (см. рисунок 7).

Раздел управления кластером
Рисунок 7 -- Раздел управления кластером

  1. Перейти на вкладку Узлы системы - Проверка и убедиться, что индикация всех сервисов подсвечена зеленым. Это означает, что все сервисы находятся в рабочем состоянии (см. рисунок 8).

Проверка сервисов
Рисунок 8 -- Проверка сервисов

  1. Для проверки состояния и просмотра событий сервиса необходимо нажать кнопку "Настройки" рядом с IP-адресом узла, на котором развернуты сервисы (см. рисунок 9).

Настройка ноды
Рисунок 9 -- Настройка ноды

  1. На странице "Управление хостом" выбрать интересующий сервис и нажать кнопку "Действия" (см. рисунок 10).

Выбор действий
Рисунок 10 -- Выбор действий

  1. В выпадающем меню выбрать необходимый пункт:
  2. Статус - выводит информацию о состоянии сервиса (см. рисунок 11);

Окно с информацией о состоянии сервиса
Рисунок 11 -- Окно с информацией о состоянии сервиса

  • Логи - выводит журнал событий сервиса (см. рисунок 12).

Окно вывода событий сервиса
Рисунок 12 -- Окно вывода событий сервиса

Если сервис подсвечен красным цветом, то это означает, что сервис не работает. Попробуйте выбрать пункт меню "Перезапустить" для перезапуска сервиса. Если это не помогает, выберите пункт "Переустановить сервис" для его переустановки.
Для получения подробной информации по решению проблем, связанных с работоспособностью Платформы Радар, обратитесь к Руководству по сбору информации и устранения неисправностей

Первичное конфигурирование Платформы Радар

Первичное конфигурирование Платформы Радар включает создание и настройку следующих объектов:

  • пользователи;
  • группы пользователей;
  • группы активов.

Подробное описание по созданию и настройке объектов приведено в документе «Руководство администратора».

Синхронизация с Базой Знаний

При выполнении операций по синхронизации с Базой Знаний необходимо выполнить следующие действия:

  • синхронизировать типы инцидентов;

  • синхронизировать правила для Коррелятора.

  • Для этого перейдите в раздел Центр управления - Параметры - Параметры и выберите вкладку "Синхронизация с Базой Знаний".

  • Нажмите на кнопку "Синхронизация типов инцидентов" (см. рисунок 13).

Вкладка синхронизации с Базой Знаний
Рисунок 13 -- Вкладка "Синхронизации с Базой Знаний"

Синхронизация правил для коррелятора может занимать некоторое время.

Возможные проблемы

После первичной установки некоторые компоненты могут иметь отрицательное состояние доступности.

Для устранения проблем с сервисом RADAR-TERMITE включите типы источников (см. раздел "Работа с пассивными источниками событий").

Для устранения проблем с неработающим сервисом (такой сервис выделен красным) выполните следующие действия:

  1. Перейдите в раздел "Кластер";
  2. На вкладке Узлы системы - Узлы кликните на IP-адрес узла, на котором располагается неработающий сервис (см. рисунок 14);

Узлы системы
Рисунок 14 -- Выбор узла

  1. На панели "Все сервисы узла" найти неработающий сервис и нажать кнопку "Действия". В выпадающем меню выбрать пункт "Перезапустить". Если перезапуск сервиса не помог, выберите пункт "Переустановить сервис" (см. рисунок 15).

Действия
Рисунок 15 -- Панель "Все сервисы узла"

Успешное завершение процесса развертывания, выполнение проверочных мероприятий, конфигурирование Платформы Радар и синхронизация с Базой Знаний позволят начать целевую эксплуатацию функционала Платформы Радар.

В ходе эксплуатации Платформы Радар необходимо руководствоваться документами «Руководство администратора» и «Руководство оператора».