- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
21.4 ArcSight 安装配置
本节介绍 ArcSight 最重要的模块—ESM 的安装配置。包括:
·安装前准备。
·初始化安装。
·安装后验证。
·性能调优。
·初始备份。
·压力测试。
·其他参数调整。
21.4.1 安装前准备
基于前期规划准备硬件及外部资源,包括 RAID、带外管理、IP、NTP、SMTP、DNS、主机名、网络访问策略、可选的 AD/LDAP 信息,如图 21-6 所示。
图 21-6 网络访问策略
查阅《ArcSightESM Support Matrix》,确定 ESM 软件版所使用操作系统的类型及版本。
建议参考《ESM6.11.0 Installation Guide》《Building a custom CentOS 7 kickstart disc》定制相应的操作系统自动化安装光盘,参考《CIS Benchmarks》加固操作系统,所有配置通过 Kickstart 及脚本自动实现。促使我们这么做的原因是可以将各系统变更内容(如 IP、主机名、DNS、NTP、Firewalld、软件包、软件参数配置项等)固化(此光盘可以为 ESM、Logger、Connector 统一定制),与其编写大量的细节部署说明文档,不如花点精力编写 Kickstart 和 Shell,后期在系统扩容和环境恢复时也可大幅减少部署时间且能标准化,还可降低实施/维护工程师的交付难度。
21.4.2 初始化安装
参考《ESM6.11.0 Installation Guide》获取软件安装包及 License 文件,需要注意的主要内容如下;
·使用非 root 账号(例如 arcsight)执行安装,语言建议选择 English,尽管 ESM 支持多语言,包括简体中文,但是相关的原厂测试完整性一定不如英文版,英文版可以减少因一些莫名其妙小问题而带来的困扰。
·设置符合强度的后台数据库密码并记录。
·设置存储资源池容量。
·安装完毕后以 root 执行结束界面提示的脚本/opt/arcsight/manager/bin/setup_services.sh,以便部署自动启动服务。
21.4.3 安装后验证
验证步骤如下:
1)以 arcsight 账号用命令行启动 ESM 服务以验证安装是否成功。
$/opt/arcsight/manager/bin/arcsight manager
2)等待出现 Ready 提示。
3)通过浏览器访问 https://<ESM_Host_Name>:8443,如果可以用安装时设置的管理员账号及密码登录,即可证明初始化安装正确。
4)建议后续安装 6.11.0 的 Patch 软件包,方法参考相应版本的 Release Notes 说明。
21.4.4 性能调优
性能调优可以参考《ESM6.8 Performance tuning》《ArcSight ESM Performance Settings》《ArcSightESM Performance Guide v1_3》,此过程需要结合后续压力测试反复验证并调整。
21.4.5 初始备份
在压力测试前建议参考《ESMCORR-Engine Backup and Recovery》把初始安装完毕的 ESM 做个全备份,由于压力测试会输入大量的测试样本数据占用存储资源,ArcSight ESM 是不允许修改、删除已有的日志数据,只能循环覆盖。用此备份数据可在压测后将 ESM 恢复至压测前的状态,并可验证 ESM 的备份/恢复脚本及流程是否有效。
21.4.6 压力测试
ESM Manager 的日志接收能力测试利用自带的 bleep 模块实现,此模块通过回放模拟事件的方法持续向 ESM Manager 发送数据进行压力测试。
建议在多个 Connector 服务器上部署 ESM Manager(无需安装,只需将 ESM Manager 安装后软件目录 tar 到 Connector 服务器上即可),每个机器模拟多个 Connector 同时向 ESM Manager 发送日志。
为减少压测对网络其他业务造成的影响,建议使用单独的交换机或交叉线连接 ESM Manager 和各 Connector 服务器。通过 ESM 仪表板观察 ESM Manager 的性能,以及各 Bleep 模块的输出信息有无缓存日志信息,逐步增加模拟 Connector 数量直到恰好不产生缓存日志的配置,之后持续运行至少 24 小时,建议一直持续到将 EventStorage 存储池占满为止。
21.4.7 其他参数调整
查阅/opt/arcsight/manager/config/server.default.properties 中对各参数的说明,增加/修改/opt/arcsight/manager/config/server.properties 中配置,例如:
·PDF 中文字体配置项。
·登录提示 Banner。
·用户密码复杂度策略。
·SMTP 用户认证。
·AD/LDAP 用户验证。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论