Site perso d'un administrateur d'infrastructures sécurisées

Catégorie : Analyse SOC

Désinstaller un agent Elastic sur Windows

Voici une petite procédure toute simple à suivre pour désinstaller un agent Elastic (suite à un déploiement via Fleet par exemple) :

Etape 1 : désinstaller l’agent

Ouvrez le Command Prompt (ou Powershell) en mode administrateur

Naviguez vers le répertoire d’installation de l’agent :

cd "C:\Program Files\Elastic\Agent"

Utilisez la commande de désinstallation :

L’agent Elastic fournit un script de désinstallation. Exécutez la commande suivante pour désinstaller l’agent :

.\elastic-agent.exe uninstall

Étape 2 : Vérifier la Désinstallation

Après la désinstallation, assurez-vous que l’agent a été complètement retiré :

Vérifiez le répertoire d’installation :

Assurez-vous que le répertoire C:\Program Files\Elastic\Agent a été supprimé ou est vide.

Vérifiez dans les Services Windows :

Tapez services.msc dans le menu Démarrer pour ouvrir la console des services et vérifiez que les services liés à l’agent Elastic ne sont plus listés.

Security Onion : installation et configuration

Security Onion est une distribution Linux robuste et gratuite conçue spécialement pour la surveillance de sécurité et la détection d’intrusions sur les réseaux. Elle intègre une suite impressionnante d’outils et d’applications de sécurité open-source qui en font un choix privilégié pour les professionnels de la cybersécurité souhaitant analyser et protéger leurs réseaux contre les menaces.

Fondé par Doug Burks en 2008, ce système est devenu une référence dans le domaine de la sécurité informatique, grâce à sa capacité à fournir une visibilité approfondie des activités réseau à travers une interface conviviale et des dashboards informatifs.

L’installation de Security Onion nécessite une machine dédiée capable de gérer le traitement de données réseau en temps réel et l’exécution simultanée de plusieurs applications de surveillance.

Dans le cadre de cet article, nous nous intéresserons à la mise en place de Security Onion sur un ordinateur recyclé, une démarche à la fois économique et écologique. La machine en question, qui date d’une dizaine d’années, a été équipée pour répondre aux besoins de cette tâche avec 24 Go de mémoire RAM, un disque SSD de 500 Go pour un accès rapide aux données, et un processeur Intel i5, assurant ainsi une base solide pour une installation efficace.

Le but de ce premier article est de vous guider à travers les étapes initiales d’installation de Security Onion sur cet équipement. Je vous propose de commencer par explorer les prérequis, la préparation de la machine et le processus d’installation proprement dit, en veillant à optimiser la configuration pour tirer le meilleur parti de l’ancienne configuration matérielle. Cela permettra non seulement de sécuriser votre réseau, mais aussi de redonner vie à un équipement autrement obsolète, en lui offrant une seconde vie au service de la cybersécurité.

Chapitre 1: Prérequis Minimaux pour l’Installation de Security Onion

Avant de plonger dans le vif du sujet, il est essentiel de s’assurer que votre équipement répond aux exigences nécessaires pour installer et exécuter Security Onion efficacement. Ce système d’exploitation de sécurité est conçu pour analyser et surveiller votre réseau en temps réel, ce qui nécessite une certaine puissance de traitement et une configuration adéquate. Voici donc les prérequis minimaux pour que votre installation soit un succès.

1. Configuration Matérielle Requise

  • Processeur: Un CPU multicœur est recommandé. Security Onion nécessite un processeur 64 bits, et un Intel i5 ou supérieur est idéal pour une performance optimale. Plus les cœurs sont nombreux et puissants, meilleure sera la capacité du système à gérer simultanément les divers outils de sécurité.
  • Mémoire RAM: Le minimum requis est de 8 Go de RAM, mais 16 Go ou plus sont fortement recommandés pour un traitement fluide des données, surtout si vous envisagez de surveiller un réseau de taille moyenne à grande.
  • Stockage: Un disque dur de 500 Go est le minimum requis pour commencer, mais un SSD (Solid State Drive) est préférable pour accélérer le démarrage des outils et le traitement des données. Un SSD de 500 Go ou plus est idéal, particulièrement si vous prévoyez de stocker et d’analyser beaucoup de données.
  • Carte réseau: Au moins deux interfaces réseau sont recommandées. Une sera utilisée pour la gestion de Security Onion et l’autre pour la surveillance du réseau. Des cartes réseau dédiées peuvent améliorer significativement la capacité de capture et d’analyse des paquets réseau.

Avec ces prérequis en main, vous êtes prêt à installer Security Onion sur votre machine dédiée. Assurez-vous que votre équipement répond à ces exigences minimales pour garantir une installation fluide et efficace. Dans le prochain chapitre, nous explorerons les étapes détaillées de l’installation de Security Onion, transformant notre équipement ancien en une puissante station de surveillance réseau.

Installation de l’OS

Je vais écrire cet article sous forme de compte-rendu de ce qui a fonctionné pour moi.

J’ai commencé par télécharger la version .iso sur le site officiel https://securityonionsolutions.com/software/ et plus particulièrement ici : https://github.com/Security-Onion-Solutions/securityonion/blob/2.4/main/DOWNLOAD_AND_VERIFY_ISO.md

Ensuite, il a suffit de flasher cet iso sur une clé USB avec Balena Etcher pour avoir une clé USB d’installation bootable.

L’installation est assez simple et bien documentée, vous pouvez la retrouver ici : J’ai suivi la documentation officielle : https://docs.securityonion.net/en/2.4/first-time-users.html

J’ai choisi de faire une installation basique (sans interface de bureau) pour éviter de charger la mule – qui est déjà bien gourmande !

En résumé, durant l’installation il va falloir entre autres définir une adresse IP pour la machine qui hébergera Security Onion (préférez une IP fixe) et définir également l’IP de la seule machine qui pourra passer le pare-feu intégré, avec login et mot de passe robuste (je me suis fait avoir lors de ma première tentative, en cliquant sur « non » il m’a fallu reprendre tout le processus d’installation !).

Ne vous inquiétez pas si l’installation dure un peu : chez moi ça a bien mis une bonne heure !

Une fois l’installation terminée vous devriez avoir le résumé des infos la façon de vous connecter depuis l’interface web :

C’est là que ça devient amusant : avec votre machine autorisée à vous connecter, rdv sur l’adresse IP du serveur SOC, entrez les logins & mot de passe définis pendant l’installation et tadaa, vous voilà connectés :

Ajouter une première machine

Par défaut, en vous baladant un peu vous allez voir quelques graphiques : il s’agit des infos de la machine qui héberge Security Onion. C’est intéressant, mais l’objectif de cet outil est d’en faire un centre pour les appareils de votre réseau (et même de votre réseau lui-même !). Pour ce qui va suivre – et pendant que c’est frais dans ma tête – je vais me contenter d’être factuel et d’aller à l’essentiel ; je reviendrai plus tard sur les explications détaillées.

Pour ce faire, c’est là encore d’une facilité déconcertante :

  • RDV dans l’onglet « Elastic Fleet » puis cliquez sur « ajouter un agent » :
  • Dans la fenêtre qui s’ouvre sur la droite, choisissez « Endpoints-initial »
  • Laissez l’étape 2 par défaut
  • A l’étape 3, choisissez le type de machine que vous souhaitez surveiller. Pour l’exemple j’ai commencé par choisir une machine classique « cliente » windows 10 (celle que j’utilise au quotidien)
  • Sur la machine a surveiller, ouvrez powershell en mode admin et tapez les commandes affichées par l’assistant de configuration. Par exemple :
$ProgressPreference = 'SilentlyContinue'

Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.10.4-windows-x86_64.zip -OutFile elastic-agent-8.10.4-windows-x86_64.zip

Expand-Archive .\elastic-agent-8.10.4-windows-x86_64.zip -DestinationPath .

cd elastic-agent-8.10.4-windows-x86_64

.\elastic-agent.exe install --url=https://192.168.199.143:8220 --enrollment-token=AcvaANAFAZAFCZADZAp222031V023212321D221CD== --insecure

NB : Le –insecure à la fin est volontaire, car à cette étape je n’ai pas activé le https sur mon réseau local, ce qui a posé problème lors d’une première tentative d’installation en suivant la doc officielle. Je le ferai plus tard, ça sera l’occasion de voir comment modifier la configuration de l’agent !

A la fin de la procédure, l’agent devrait être repéré par le serveur :

NB : si le poste que vous souhaitez auditer n’arrive pas à communiquer avec le serveur Elastic, assurez-vous que le firewall accepte bien son IP dans la configuration de Security Onion ; rdv dans « Configuration » -> « Firewall » -> « Hostgroups » puis dans « Elastic Agent Endpoint » ajoutez les IP (attention, il faut indiquer l’IP seule sans sa notation CIDR, c’est juste un réglage de firewall !) des postes à surveiller.

Il suffit d’attendre quelques minutes pour commencer à voir remonter des infos de la machine monitorée :

Voilà, c’est tout pour l’instant : le setup fonctionne, maintenant ne reste plus qu’à passer à partie « invisible » de l’iceberg : l’exploitation des données. Je vais creuser ça et je reviens rapidement ici pour donner quelques astuces & tutos supplémentaires !

Fièrement propulsé par WordPress & Thème par Anders Norén