根据开源项目能够搭建一个安全性应急处置服务平台，该服务平台能够开展日志融合、告警形成、IoC 丰富多彩与恶性事件管理 *** 。

在上面的流程表中，做为 HIDS 的 Wazuh 将数据信息推送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观察到新恶性事件并在 TheHive 中相对形成告警。随后根据 Cortex 与 MISP 查看附加信息丰富多彩该恶性事件，以后全自动关掉该恶性事件或递交给投资分析师。

一定要注意，系统软件中的一切节点服务项目或是能够形成日志传输给 Elasticsearch 的 Agent 都能够被取代。该套系统软件的益处取决于绝大部分的部件都能够更换。

Wazuh

Wazuh 是一个开源系统安全防范解决 *** ，用以搜集、剖析服务器安全性数据信息。Wazuh 是 OSSEC 新项目的支系。Wazuh 部件与 Elasticsearch 和 Kibana 的融合度很高，能够用于实行很多与安全性有关的每日任务，如日志剖析、Rootkit 检验、监视端口检测、文档一致性检验等。

Elasticsearch

Elasticsearch 将当做全部系统软件的日志储存库。Elasticsearch 十分强劲，具有许多作用。常与 Logstash（日志搜集）和 Kibana（数据可视化）融合应用。Elasticsearch 为全部种类的数据储存都出示了一个强劲的服务平台。

ElastAlert

ElastAlert 是由 Yelp 进行的新项目，为 Elasticsearch 出示告警体制。ElastAlert 根据 REST API 查看 Elasticsearch 并有好几个輸出来搭配告警。

TheHive

TheHive 是一个可拓展的、开源系统、完全免费安全性应急处置服务平台，致力于让一切安全性从业者可以轻轻松松地解决安全事故，并迅速地付诸行动。实质上讲 TheHive 是一个告警管理系统，用以管理 *** 所有恶性事件告警。

Cortex

Cortex 与 TheHive 是一个精英团队开发设计的商品。Cortex 应用解析器获得日志中相关指标值信息的别的数据信息。容许在第三方服务中查看 IP、URL 与文档hach等指标值，并将第三方回到的結果做为额外信息丰富多彩告警恶性事件。

MISP

MISP 是 CIRCL 维护保养的开源系统威胁情报数据共享平台，其 Feed 能够是某一机构出示的付钱定阅，还可以是小区维护保养的开源系统定阅，这也是数据信息丰富多彩的关键来源于。

Elasticsearch 安装

更先布署 Elasticsearch 群集，系统软件应用 Ubuntu 16.04（文章内容应用vm虚拟机安装，DHCP 为该vm虚拟机预埋了详细地址，保证其自始至终应用同样的 IP 详细地址）。

创作者出示了 Vagrantfile 协助配备搭建 Elasticsearch vm虚拟机。

ELK 安装

留意：TheHive 已经开展一些后端开发重新构建，这会造成设定复杂。TheHive 身后的开发设计精英团队觉得 Elasticsearch 早已已不考虑他们的要求了，4.0 版本后将在后端开发应用 GraphDB。当今平稳版本 3.2.1 版本及其大家在这里应用的 beta 版本 3.3.0 全是用 Elasticsearch 5.6 做为后端开发。因而，在vm虚拟机中必须布署 Elasticsearch、Logstash 和 Kibana 6.6.1 做为日志储存库房，另一个 Elasticsearch 5.6.15 布署在 TheHive vm虚拟机中做为后端开发。

尽管我小结了安装流程，可是假如必须进一步掌握关键点能够查询安装手册。

# 更先安装 Java，挑选应用 OpenJDK 安装

sudo apt-get install openjdk-8-jre

# 加上密匙与库房

wget -qO - | sudo apt-key add -

echo "deb stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

sudo apt-get update

# 为了更好地避免 升级毁坏 SearchGuard，挑选安装固定不动版本的 Elasticsearch

apt-cache policy elasticsearch

sudo apt-get install elasticsearch=6.6.1 logstash=1:6.6.1-1 kibana=6.6.1

# 阻拦系统更新

sudo apt-mark hold elasticsearch logstash kibana

# 将 Elasticsearch、Logstash 和 Kibana 设定为开机启动

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service

sudo systemctl enable logstash.service

sudo systemctl enable kibana.service

# 将来明确好兼容模式，能够开展升級

sudo apt-mark unhold elasticsearch

提升

默认设置状况下，Elasticsearch 依靠的 Java 堆的尺寸为 1 GB。能够根据改动 /etc/elasticsearch/jvm.options 中的 Xms1g 与 Xmx1g 主要参数，将其提升到总运行内存的 50-80%。我的vm虚拟机仅有 4gB 运行内存，所以我保存了初始值。

编写环境变量 /etc/elasticsearch/elasticsearch.yml：

撤消 cluster.name 和 node.name 的注解，并设定为不一样的姓名

设定 bootstrap.memory_lock 为 True

设定 network.host 为 0.0.0.0

设定 discovery.type 为 single-node

编写服务项目 sudo systemctl edit elasticsearch.service：

[Service]

LimitMEMLOCK=infinity

随后执行：

# 重新加载

sudo systemctl daemon-reload

# 重启

sudo systemctl start elasticsearch.service

# 查验保证 Elasticsearch 能用

curl

应当能够见到相近的回应：

1551641374 19:29:34 demo-cluster green 1 1 0 0 0 0 0 0 - 100.0%

Kibana

编写 Kibana 的环境变量：sudo nano /etc/kibana/kibana.yml

设定 Kibana 来回应外界插口：server.host: 0.0.0.0

运行服务项目：sudo systemctl start kibana.service

浏览器打开： 应当能够见到 Kibana 控制面板

Logstash

依照以下指令实行：

sudo apt install logstash

sudo systemctl enable logstash.service

sudo systemctl daemon-reload

留意：这时 Logstash 沒有运作。

Wazuh 安装

这些将叙述怎样安装 Wazuh Manager，并将 Wazuh 与 Elasticsearch 开展集成化。

应用 Wazuh 的 Agent 以及标准集来鉴别节点的个人行为并形成告警。这种告警从 Wazuh 的 Agent 分享到 Wazuh Manager 载入 /var/ossec/logs/alerts/alerts.json。Filebeat 的服务项目持续监控该文件的变更，随后发送给 Elasticsearch。

Wazuh Manager

# 为 Wazuh 库房安装 GPG 密匙