SysmonHunter安装

描述

编写“Threat Hunt系列”的指导文章主要原因是，安全研究人员在编写渗透测试文章后并没有提供检测技术。渗透测试人员虽然完成了很多出色的工作、描述了对手所使用的工具和技术，但是只有少数人愿意共享出用于检测他们所使用的工具或者编写的代码。

本文主要讲述SysmonHunter的安装部署及基本使用。

环境准备

安装环境：centos 7；

SysmonHunter项目下载地址：https://github.com/baronpan/SysmonHunter

默认安装路径/root

Elasticsearch

安装jdk1.8.0

安装Elasticsearch 6.3.0

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.3.0.tar.gz

默认安装路径：/opt/elasticsearch-6.3.0/

安装Elasticsearch 6.3的head插件

Head插件安装路径：/opt/elasticsearch-6.3.0/head

Neo4j安装

apt install neo4j

安装完后，默认用户密码:neo4j/neo4j

默认安装路径：/usr/share/neo4j

Python 2.7.x安装

kali上默认2.7.15，安装SysmonHunter三方python库：pip install -r requirements.txt

服务外连配置

Web应用开启外连；

执行vim server.py，配置如下：

es组件开启外连；

执行vim elasticsearch.yml，配置如下：

配置es组件允许head跨域连接，配置如下：

配置neo4j允许外连;

执行vim neo4j.conf，配置如下：

开启服务

开启图数据库：

1	root# neo4j start

开启ES

root# useradd es
root# su es
es$ /opt/elasticsearch-6.3.0/bin/elasticsearch -d
es$ exit

开启ES head插件服务

1 2	root# cd /opt/elasticsearch-6.3.0/head root# nohup grunt server &

开启项目web应用

1 2	root# cd /root/SysmonHunter/ root# python server.py -c conf/example.conf

客户端传输数据

使用Python脚本将客户端的数据传输至服务端处理，并推送到ES。

1	python agent.py -c conf/example.conf -t csv -i test.csv