Под­го­тов­ка к раз­вер­ты­ва­нию MaxPatrol SIEM

Пе­ред уста­нов­кой MaxPatrol SIEM на лю­бые ОС необ­хо­ди­мо:

  • про­ве­рить, что все сер­ве­ры со­от­вет­ству­ют аппа­рат­ным и про­грамм­ным тре­бо­ва­ни­ям;
  • в ка­че­стве ад­ре­сов ком­по­нен­тов MaxPatrol SIEM на уз­лах ис­поль­зо­вать толь­ко IP-ад­ре­са или толь­ко FQDN. Ис­поль­зо­ва­ние двух спо­со­бов ад­ре­са­ции при­во­дит к ошиб­кам при раз­вер­ты­ва­нии си­сте­мы;
    При ис­поль­зо­ва­нии NAT в IT-ин­фра­струк­ту­ре ор­га­ни­за­ции ре­ко­мен­ду­ет­ся ис­поль­зо­вать в ка­че­стве ад­ре­сов ком­по­нен­тов толь­ко FQDN.
  • при ис­поль­зо­ва­нии FQDN в ка­че­стве ад­ре­сов ком­по­нен­тов MaxPatrol SIEM на уз­лах необ­хо­ди­мо на­стро­ить и обес­пе­чить до­ступ­ность DNS для кор­рект­но­го раз­ре­ше­ния имен уз­лов в IP-ад­ре­са. Не ис­поль­зуй­те ло­каль­ный DNS, на­при­мер systemd-resolved или dnsmasq;
    Не ре­ко­мен­ду­ет­ся вно­сить из­ме­не­ния в файл /etc/hosts. Этот файл не ис­поль­зу­ет­ся ком­по­нен­та­ми MaxPatrol SIEM.
  • син­хро­ни­зи­ро­вать дату и вре­мя на сер­ве­рах, на ко­то­рые бу­дут уста­нов­ле­ны ком­по­нен­ты;
  • про­ве­рить, что в ОС сер­ве­ров нет учет­ных за­пи­сей с ло­ги­ном siem;
    Ло­гин учет­ной за­пи­си siem за­ре­зер­ви­ро­ван MaxPatrol SIEM. Не со­зда­вай­те в опе­ра­ци­он­ной си­сте­ме учет­ные за­пи­си с ло­ги­ном siem, так как это сде­ла­ет уста­нов­ку MaxPatrol SIEM невоз­мож­ной.
  • при уста­нов­ке или об­нов­ле­нии опе­ра­ци­он­ной си­сте­мы — ука­зать в ка­че­стве ис­поль­зу­е­мо­го фор­ма­та раз­ме­ще­ния таб­лиц раз­де­лов на фи­зи­че­ском жест­ком дис­ке стан­дарт GPT.

Для уста­нов­ки MaxPatrol SIEM ис­поль­зу­ют­ся пол­ные до­мен­ные име­на сер­ве­ров (FQDN), по­это­му пе­ред на­ча­лом раз­вер­ты­ва­ния ре­ко­мен­ду­ет­ся убе­дить­ся, что в вы­во­де ко­ман­ды hostnamectl для каж­до­го сер­ве­ра в стро­ке Static hostname со­дер­жит­ся кор­рект­ный FQDN.

При раз­вер­ты­ва­нии ком­по­нен­та MP 10 Collector уста­нав­ли­ва­ет­ся драй­вер WinPcap 4.1.3. Не ре­ко­мен­ду­ет­ся до­пол­ни­тель­но уста­нав­ли­вать дру­гие вер­сии драй­ве­ра WinPcap, по­сколь­ку ра­бо­та дру­гой вер­сии драй­ве­ра мо­жет при­ве­сти к некор­рект­ной ра­бо­те мо­ду­ля hostdiscovery.

Если опе­ра­ци­он­ная си­сте­ма уста­нав­ли­ва­ет­ся без стан­дарт­ных си­стем­ных ути­лит, необ­хо­ди­мо уста­но­вить па­ке­ты perl и libperl5.28 с по­мо­щью ко­ман­ды apt update && apt install perl libperl5.28.

Под­го­тов­ка к уста­нов­ке на Astra Linux

Пе­ред раз­вер­ты­ва­ни­ем MaxPatrol SIEM на Astra Linux Special Edition 1.7 необ­хо­ди­мо на сер­ве­рах ком­по­нен­тов вы­пол­нить дей­ствия, ука­зан­ные в бюл­ле­те­нях про­из­во­ди­те­ля № 2021-1126SE17 и № 2022-0318SE17MD (по­дроб­нее см. в спра­воч­ном цен­тре Astra Linux).

Если пред­по­ла­га­ет­ся уста­нов­ка MaxPatrol SIEM на ядро Astra Linux типа hardened, то для кор­рект­ной ра­бо­ты Docker-кон­тей­не­ров пе­ред уста­нов­кой необ­хо­ди­мо на­стро­ить ядра типа hardened на всех сер­ве­рах с Astra Linux.

Если MaxPatrol SIEM уста­нав­ли­ва­ет­ся на Astra Linux и вклю­чен ман­дат­ный кон­троль це­лост­но­сти (да­лее МКЦ), для учет­ной за­пи­си, ко­то­рая ис­поль­зу­ет­ся при уста­нов­ке ком­по­нен­тов си­сте­мы, необ­хо­дим мак­си­маль­ный уро­вень це­лост­но­сти. Ин­струк­ция по на­строй­ке МКЦ при­ве­де­на в раз­де­ле «На­строй­ка ман­дат­но­го кон­тро­ля це­лост­но­сти для Astra Linux» Ру­ко­вод­ства ад­ми­ни­стра­то­ра.

Под­го­тов­ка к уста­нов­ке на Debian

Для уста­нов­ки или об­нов­ле­ния Debian необ­хо­ди­мо ис­поль­зо­вать пол­ный уста­но­воч­ный об­раз. Он со­дер­жит необ­хо­ди­мый на­бор па­ке­тов и не тре­бу­ет под­клю­че­ния к ин­тер­не­ту (по­дроб­нее см. на сай­те debian.org).

Если в Debian 10.3—10.13 ис­поль­зу­ет­ся вер­сия ядра ниже тре­бу­е­мой, пе­ред уста­нов­кой или об­нов­ле­ни­ем MaxPatrol SIEM необ­хо­ди­мо об­но­вить его вер­сию, уста­но­вив ме­та­па­кет ядра linux-image-5.10-amd64. При об­нов­ле­нии вер­сии ядра не тре­бу­ет­ся об­нов­ле­ние OC.