Cómo implementar la herramienta de análisis de tráfico de red de Malcolm con Ubuntu Server 22.04

Jack Wallen lo guía a través de los pasos para implementar una herramienta de análisis de red poderosa y fácil de usar en Ubuntu Server 22.04.

Imagen: Gorodenkoff/Adobe Stock

Malcolm es una herramienta de análisis de tráfico de red de código abierto que utiliza un marco de herramientas para crear potentes herramientas de análisis para los administradores de red. Malcolm acepta datos de tráfico de red en forma de archivos PCAP (captura de paquetes completos) y registros Zeek.

VER: Kit de herramientas de contratación: ingeniero de red (Tecnopedia Premium)

Malcolm incluye dos interfaces diferentes:

• OpenSearch Dashboards: un complemento de visualización de datos flexible con docenas de paneles prediseñados.
• Arkime: una poderosa herramienta para encontrar e identificar sesiones de red que consisten en eventos de seguridad sospechosos.

Malcolm es fácil de usar, en contenedores, seguro y desarrollado activamente. Me gustaría guiarlo a través del proceso de implementación de esta herramienta en Ubuntu Server 22.04.

lo que malcolm necesita

Para poner en marcha Malcolm, necesita una instancia de Ubuntu Server 22.10 y un usuario con privilegios de sudo. Eso es todo: manos a la obra.

Cómo crear un nuevo usuario

Lo primero que haremos será crear un nuevo usuario. SSH o inicie sesión en su instancia de Ubuntu Server y emita el comando:

Código abierto: Informes de lectura obligatoria

sudo useradd -m -d /opt/malcolm -s /bin/bash -G sudo malcolm

Cambie la contraseña del nuevo usuario con el siguiente comando:

sudo contraseña malcolm

Inicie sesión como este usuario:

su malcolm

Cómo clonar a Malcolm y ejecutar el instalador

Usando git, clona la última versión de Malcolm:

clonar

Cambie al directorio recién creado con el siguiente comando:

cd malcolm

Ejecute el instalador:

sudo ./scripts/install.py

Durante la primera etapa de la instalación, se le harán varias preguntas. Para cada pregunta S/N, responda S. Los únicos problemas que no son S/N son:

Introduzca la cuenta de usuario:

A esto responde:

Malcolm

Cómo configurar Malcolm

Después de responder las preguntas del instalador, debe configurar Malcolm. Abra el archivo de configuración con el siguiente comando:

sudo ./scripts/install.py –configure

Una vez más, se le harán algunas preguntas. Aquí están las preguntas y respuestas que debe hacer:

• El proceso de Malcolm se ejecutará con UID 1000 y GID 1000. ¿esta bien? (sea o no
• Establezca 10 g para OpenSearch y 3 g para Logstash. ¿Esta bien?Sí
• Configure 3 trabajadores para la canalización de Logstash. ¿Esta bien? (sea o no
• Reinicie Malcolm en el reinicio del sistema o del demonio Docker: sí, asegúrese de seleccionar la opción predeterminada a menos que se detenga.
• Elija si desea configurar Malcolm con HTTPS: sí
• Elija si Malcolm se ejecutará detrás de cualquier proxy: No
• Seleccione Red: Presione Entrar
• Seleccionar LDAP: No
• ¿Almacenar el servidor instantáneo del índice OpenSearch localmente en /opt/malcolm/Malcom/opensearch-backup?Sí
• Opción para comprimir instantáneas del índice OpenSearch: sí
• Análisis automático de todos los archivos PCAP con Suricata: sí
• Descarga regularmente las firmas de Suricata actualizadas: sí
• Análisis automático de todos los archivos PCAP con Zeek: sí
• Si descartar el índice más antiguo cuando la base de datos supera cierto tamaño: No
• Direcciones IP de origen y destino en los registros de búsqueda de DNS inverso local: No
• Búsqueda OUI de proveedor de hardware para dirección MAC: Sí
• Cadena de puntuación aleatoria de algunos campos: sí
• Exponer el puerto OpenSearch a hosts externos: No
• Exponer el puerto de Logstash a hosts externos: no
• Reenviar registros de Logstash a una instancia externa de OpenSearch: No
• Exponer puertos TCP de Filebeat a hosts externos: No
• Exponer el servidor SFTP a un host externo (para cargas de PCAP): No
• Habilitar la extracción de archivos con Zeek: sí
• Elija interesante como el comportamiento de extracción (Figura A).
• Elija cómo guardar el archivo: Cuarentena
• Escanear archivos extraídos/archivos PE con ClamAV: sí
• Escanear archivos extraídos/archivos PE con Yara: sí
• Escanear archivos extraídos/archivos PE con Capa: sí
• Usar VirusTotal para encontrar hashes de archivos extraídos: No
• Descargue regularmente firmas de escáner actualizadas: Sí
• Si Malcolm captura el tráfico de red en un archivo PCAP para analizarlo con Arkime: sí
• Especifique las interfaces de captura (separadas por comas) que utilizará Malcolm para el tráfico de red: eth0
• Captura de paquetes con netsniff-ng (Y/n): sí
• Use tcpdump (y/N) para capturar paquetes: no
• ¿Debería Malcolm usar Suricata para analizar el tráfico?: no
• filtro de captura (expresión de filtro similar a tcpdump; déjelo en blanco para capturar todo el tráfico) 8005 cualquiera
• Deshabilitar la descarga del hardware de la interfaz de captura y ajustar el tamaño del búfer circular: (sí/no): n

Figura A

El proceso de configuración de Malcolm es una interfaz de usuario basada en ncurses con la que la mayoría de los administradores de Linux deberían estar familiarizados.

Una vez hecho esto, reinicia el sistema con el siguiente comando:

reiniciar sudo

Cómo crear una cuenta de administrador para Malcolm

Después de que el sistema se reinicie, vuelva a iniciar sesión y cambie a la cuenta de Malcolm:

sue malcolm

Cambie al directorio Malcolm del usuario:

cd ~/malcolm

Ejecute el script de configuración de la cuenta de administrador con el siguiente comando:

./scripts/auth_setup

Responda todas las preguntas requeridas como esta:

• ¿Nombre de usuario/contraseña del administrador de almacenamiento para el acceso local de Malcolm?Sí
• Cree un nuevo usuario administrador y proporcione una contraseña al usuario.
• (Re)generar certificado SSL autofirmado para tráfico web HTTPS: sí
• (Re)generar certificado autofirmado para reenviador de registro remoto: sí
• Almacenar nombre de usuario/contraseña para reenviar eventos de Logstash a instancias externas secundarias de OpenSearch: no
• Almacenar nombre de usuario/contraseña para la cuenta del remitente de la alerta de correo electrónico: No

Cómo extraer la imagen Docker requerida

Malcolm se implementa usando Docker, por lo que primero debemos extraer la imagen oficial:

extracción de la composición de la ventana acoplable

Tirar toma algún tiempo, así que siéntese y disfrute de la salida entregada o haga otra cosa. Dale de 2 a 10 minutos para que se complete.

Cómo iniciar y acceder a Malcolm

Para iniciar el servicio de Malcolm, emita el siguiente comando:

./guiones/inicio

El comando anterior implementará el contenedor Docker. Dele al contenedor suficiente tiempo para desplegarse y estará listo para comenzar. Malcolm tiene varias URL diferentes para diferentes tareas. Para cada componente, asegúrese de iniciar sesión con la cuenta de administrador que creó durante el paso de configuración.

• Para el panel de control de OpenSearch, la dirección SERVER es la dirección IP del servidor de alojamiento.
• Para la pantalla Malcolm Capture File and Log Archive Upload, la dirección SERVER es la dirección IP del servidor de alojamiento.
• Para el editor de mapas de host y subred, la dirección SERVER es la dirección IP del servidor de alojamiento.
• Para la pantalla de administración de cuentas, la dirección SERVIDOR es la dirección IP del servidor de alojamiento.

Eso es todo lo que hay que hacer para implementar Malcolm Network Traffic Analyzer. Espero que le saques mucho provecho a esta poderosa herramienta.

Suscríbase a How To Make Tech Work de Tecnopedia en YouTube para obtener los últimos consejos tecnológicos de Jack Wallen para profesionales de negocios.