In diesem Abschnitt finden Sie Informationen über die Standardinstallation und die benutzerdefinierte Installation.
Gehen Sie folgendermaßen vor, um eine Standardinstallation durchzuführen:
Laden Sie die Sentinel-Installationsdatei von der NetIQ Downloads-Website herunter:
Wählen Sie im Feld Product or Technology (Produkt bzw. Technologie) den Eintrag SIEM-Sentinel aus.
Klicken Sie auf Suchen.
Klicken Sie in der Spalte mit dem Titel Download auf die Schaltfläche zum Herunterladen von Sentinel Evaluation (Sentinel 7.2-Evaluierung).
Klicken Sie auf proceed to download (weiter zum Herunterladen) und geben Sie dann Ihren Kundennamen und Ihr Passwort an.
Klicken Sie neben der Installationsversion für Ihre Plattform auf download (herunterladen).
Geben Sie in der Befehlszeile den folgenden Befehl ein, um die Installationsdatei zu extrahieren.
tar zxvf <install_filename>
Ersetzen Sie <install_filename> durch den tatsächlichen Namen der Installationsdatei.
Wechseln Sie in das Verzeichnis, in das Sie das Installationsprogramm extrahiert haben:
cd <directory_name>Geben Sie folgenden Befehl ein, um Sentinel zu installieren:
./install-sentinel
Alternativ:
Wenn Sie Sentinel auf mehr als einem Server installieren möchten, können Sie die Installationsoptionen in einer Datei aufzeichnen. Diese Datei können Sie für die unbeaufsichtigte Installation von Sentinel auf anderen Systemen verwenden. Geben Sie zum Aufzeichnen Ihrer Installationsoptionen den folgenden Befehl an:
./install-sentinel -r <response_filename>Geben Sie die entsprechende Zahl für die Sprache an, die für die Installation verwendet werden soll. Drücken Sie dann die Eingabetaste.
Die Endbenutzer-Lizenzvereinbarung wird in der ausgewählten Sprache angezeigt.
Drücken Sie die Leertaste, um die Lizenzvereinbarung durchzulesen.
Geben Sie yes (ja) bzw. y ein, um die Lizenz zu akzeptieren und mit der Installation fortzufahren.
Das Laden der Installationspakete kann einige Sekunden in Anspruch nehmen. Anschließend werden Sie zur Eingabe des Konfigurationstyps aufgefordert.
Geben Sie bei der Eingabeaufforderung 1 an, um mit der Standardkonfiguration fortzufahren.
Der Installationsvorgang wird mit dem standardmäßigen Evaluierungslizenzschlüssel, der im Installationsprogramm enthalten ist, fortgesetzt. Sie können die Evaluierungslizenz zu jedem beliebigen Zeitpunkt während des Testzeitraums oder danach durch einen gekauften Lizenzschlüssel ersetzen.
Geben Sie das Passwort für den Administratorbenutzer admin an.
Bestätigen Sie das Passwort.
Die Benutzer admin, dbauser und appuser verwenden dieses Passwort.
Die Installation von Sentinel wird beendet und der Server gestartet. Nach der Installation nimmt das Starten der Services möglicherweise einige Minuten in Anspruch, da das System eine einmalige Initialisierung ausführt. Warten Sie, bis die Installation abgeschlossen ist, bevor Sie sich am Server anmelden.
Geben Sie in einem Webbrowser folgende URL ein, um auf die Sentinel-Hauptoberfläche zuzugreifen:
https://IP_AddressOrDNS_Sentinel_server:8443/sentinel/views/main.html
IP_AddressOrDNS_Sentinel_server ist die IP-Adresse oder der DNS-Name des Sentinel-Servers und 8443 ist der Standardport für den Sentinel-Server.
Bei einer benutzerdefinierten Installation von Sentinel können Sie Anpassungen vornehmen, z. B. Ihren Lizenzschlüssel angeben, das Passwort ändern, andere Ports festlegen usw.
Soll der skalierbare Speicher aktiviert werden, müssen zunächst die in Abschnitt 12.0, Installation und Einrichtung von skalierbarem Speicher aufgeführten Voraussetzungen erfüllt sein.
Laden Sie die Installationsdatei von der NetIQ Downloads-Website herunter.
Wählen Sie im Feld Product or Technology (Produkt bzw. Technologie) den Eintrag SIEM-Sentinel aus.
Klicken Sie auf Suchen.
Klicken Sie in der Spalte mit dem Titel Download auf die Schaltfläche zum Herunterladen von Sentinel 8.0 Evaluation (Sentinel 7.2-Evaluierung).
Klicken Sie auf proceed to download (weiter zum Herunterladen) und geben Sie dann Ihren Kundennamen und Ihr Passwort an.
Klicken Sie neben der Installationsversion für Ihre Plattform auf download (herunterladen).
Geben Sie in der Befehlszeile den folgenden Befehl ein, um die Installationsdatei zu extrahieren.
tar zxvf <install_filename>
Ersetzen Sie <install_filename> durch den tatsächlichen Namen der Installationsdatei.
Geben Sie im Stamm des extrahierten Verzeichnisses den folgenden Befehl ein, um Sentinel zu installieren:
./install-sentinel
Alternativ:
Wenn Sie diese benutzerdefinierte Konfiguration dazu verwenden möchten, Sentinel auf mehr als einem Server zu installieren, können Sie die Installationsoptionen in einer Datei aufzeichnen. Diese Datei können Sie für die unbeaufsichtigte Installation von Sentinel auf anderen Systemen verwenden. Geben Sie zum Aufzeichnen Ihrer Installationsoptionen den folgenden Befehl an:
./install-sentinel -r <response_filename>Geben Sie die entsprechende Zahl für die Sprache an, die für die Installation verwendet werden soll. Drücken Sie dann die Eingabetaste.
Die Endbenutzer-Lizenzvereinbarung wird in der ausgewählten Sprache angezeigt.
Drücken Sie die Leertaste, um die Lizenzvereinbarung durchzulesen.
Geben Sie yes bzw. y ein, um die Lizenzvereinbarung zu akzeptieren und mit der Installation fortzufahren.
Das Laden der Installationspakete kann einige Sekunden in Anspruch nehmen. Anschließend werden Sie zur Eingabe des Konfigurationstyps aufgefordert.
Geben Sie 2 ein, um Sentinel benutzerdefiniert zu konfigurieren.
Geben Sie 1 ein, um den standardmäßigen Evaluierungslizenzschlüssel zu verwenden.
Alternativ:
Geben Sie 2 ein, um einen erworbenen Lizenzschlüssel für Sentinel einzugeben.
Geben Sie das Passwort für den Administratorbenutzer admin ein und bestätigen Sie das Passwort.
Geben Sie das Passwort für den Datenbankbenutzer dbauser ein und bestätigen Sie das Passwort.
Das dbauser-Konto wird von Sentinel zur Interaktion mit der Datenbank verwendet. Das hier eingegebene Passwort kann zum Ausführen von Datenbankwartungsaufgaben verwendet werden, unter anderem zum Zurücksetzen des Administratorpassworts, falls dieses vergessen wird bzw. nicht mehr auffindbar ist.
Geben Sie das Passwort für den Anwendungsbenutzer appuser ein und bestätigen Sie das Passwort.
Ändern Sie die Portzuweisungen für die Sentinel-Services, indem Sie die entsprechende Nummer und dann die neue Portnummer angeben.
Geben Sie nach dem Ändern der Ports „7“ ein, um den Änderungsvorgang abzuschließen.
Geben Sie 1 ein, um Benutzer nur über die interne Datenbank zu authentifizieren.
Alternativ:
Wenn in der Domäne ein LDAP-Verzeichnis konfiguriert ist, geben Sie 2 ein, um Benutzer über das LDAP-Verzeichnis zu authentifizieren.
Der Standardwert ist 1.
Wenn Sie Sentinel im FIPS 140-2-Modus aktivieren möchten, geben Sie y ein.
Geben Sie ein starkes Passwort für die Keystore-Datenbank an und wiederholen Sie das Passwort.
HINWEIS:Das Passwort muss mindestens sieben Zeichen lang sein. Das Passwort muss mindestens drei der folgenden Zeichenklassen enthalten: Ziffern, ASCII-Kleinbuchstaben, ASCII-Großbuchstaben, nicht alphanumerische ASCII-Zeichen und Nicht-ASCII-Zeichen.
Wenn ein ASCII-Großbuchstabe das erste Zeichen ist oder eine Ziffer das letzte Zeichen, werden diese nicht gezählt.
Wenn Sie externe Zertifikate zur Verbürgung in die Keystore-Datenbank einfügen möchten, drücken Sie j und geben Sie den Pfad für die Zertifikatsdatei an. Drücken Sie andernfalls n.
Konfigurieren Sie den FIPS 140-2-Modus, indem Sie die unter Abschnitt 22.0, Ausführen von Sentinel im FIPS 140-2-Modus genannten Aufgaben ausführen.
Aktivieren Sie den skalierbaren Speicher, indem Sie yes (ja) oder y eingeben.
WICHTIG:Die Konfiguration mit skalierbarem Speicher lässt sich nicht rückgängig machen, allerdings können Sie bei einer Neuinstallation von Sentinel eine andere Entscheidung treffen.
Geben Sie die IP-Adressen bzw. Hostnamen und Portnummern der Komponenten für skalierbaren Speicher an.
(Bedingt) Wenn Sie die Aktivierung des skalierbaren Speichers abbrechen und mit der Sentinel-Installation fortfahren möchten, geben Sie no (nein) oder n ein.
Schließen Sie nach der Sentinel-Installation die Konfiguration des skalierbaren Speichers wie im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch) beschrieben ab:
Performance Tuning Guidelines (Richtlinien für die Leistungsfeinabstimmung)
Securing Elasticsearch (Absicherung von Elasticsearch)
Processing Data (Daten verarbeiten)
Die Installation von Sentinel wird beendet und der Server wird gestartet. Nach der Installation nimmt das Starten der Services möglicherweise einige Minuten in Anspruch, da das System eine einmalige Initialisierung ausführt. Warten Sie, bis die Installation abgeschlossen ist, bevor Sie sich am Server anmelden.
HINWEIS:Wenn Sie skalierbaren Speicher aktiviert haben, löschen Sie den Browser-Cache, um die installierte Sentinel-Version anzuzeigen.
Geben Sie in einem Webbrowser folgende URL ein, um auf die Sentinel-Hauptoberfläche zuzugreifen:
https://IP_AddressOrDNS_Sentinel_server:8443/sentinel/views/main.html
<IP_AddressOrDNS_Sentinel_server> ist die IP-Adresse oder der DNS-Name des Sentinel-Servers und 8443 ist der Standardport für den Sentinel-Server.
Standardmäßig installiert Sentinel einen Collector Manager und eine Correlation Engine. Für Produktionsumgebungen empfiehlt die NetIQ Corporation das Einrichten einer verteilten Bereitstellung, da hierbei die Datensammlungskomponenten auf einem separaten Computer isoliert werden. Dies ist für die Bewältigung von Spitzenlasten und anderen Anomalien mit größtmöglicher Systemstabilität wichtig. Weitere Informationen zu den Vorteilen der Installation zusätzlicher Komponenten finden Sie unter Vorteile von verteilten Bereitstellungen.
WICHTIG:Sie müssen den zusätzlichen Collector Manager oder die Correlation Engine auf unterschiedlichen Systemen installieren. Der Collector Manager oder die Correlation Engine darf sich nicht auf dem System befinden, auf dem der Sentinel-Server installiert ist.
Installations-Checkliste: Vergewissern Sie sich vor dem Beginn der Installation, dass folgende Aufgaben abgeschlossen sind:
Stellen Sie sicher, dass die Hardware und die Software den Mindestanforderungen entsprechen. Weitere Informationen finden Sie unter Abschnitt 5.0, Erfüllen der Systemanforderungen.
Synchronisieren Sie die Zeit mit NTP (Network Time Protocol).
Ein Collector Manager erfordert Netzwerkkonnektivität zum Port für den Nachrichtenbus (61616) auf dem Sentinel-Server. Stellen Sie vor der Installation des Collector Managers sicher, dass alle Firewall- und Netzwerkeinstellungen über diesen Port kommunizieren dürfen.
Gehen Sie wie folgt vor, um den Collector Manager und die Correlation Engine zu installieren:
Starten Sie die Sentinel-Hauptoberfläche, indem Sie in einem Webbrowser folgende URL eingeben:
https://IP_AddressOrDNS_Sentinel_server:8443/sentinel/views/main.html
<IP_AddressOrDNS_Sentinel_server> ist die IP-Adresse oder der DNS-Name des Sentinel-Servers und 8443 ist der Standardport für den Sentinel-Server.
Melden Sie sich mit dem bei der Installation des Sentinel-Servers angegebenen Benutzernamen und Passwort an.
Klicken Sie in der Symbolleiste auf Downloads.
Klicken Sie unter der gewünschten Installation auf Installationsprogramm herunterladen.
Klicken Sie auf Datei speichern, um das Installationsprogramm am gewünschten Standort zu speichern.
Geben Sie zum Extrahieren der Installationsdatei folgenden Befehl ein.
tar zxvf <install_filename>
Ersetzen Sie <install_filename> durch den tatsächlichen Namen der Installationsdatei.
Wechseln Sie in das Verzeichnis, in das Sie das Installationsprogramm extrahiert haben.
Geben Sie den folgenden Befehl ein, um den Collector Manager oder die Correlation Engine zu installieren:
Für den Collector Manager:
./install-cm
Für die Correlation Engine:
./install-ce
Alternativ:
Wenn Sie den Collector Manager oder die Correlation Engine auf mehr als einem System installieren möchten, können Sie die Installationsoptionen in einer Datei aufzeichnen. Diese Datei können Sie für die unbeaufsichtigte Installation von auf anderen Systemen verwenden. Geben Sie zum Aufzeichnen Ihrer Installationsoptionen den folgenden Befehl an:
Für den Collector Manager:
./install-cm -r <response_filename>
Für die Correlation Engine:
./install-ce -r <response_filename>
Geben Sie die Nummer der Sprache an, die Sie für die Installation verwenden möchten.
Die Endbenutzer-Lizenzvereinbarung wird in der ausgewählten Sprache angezeigt.
Drücken Sie die Leertaste, um die Lizenzvereinbarung durchzulesen.
Geben Sie yes bzw. y ein, um die Lizenzvereinbarung zu akzeptieren und mit der Installation fortzufahren.
Das Laden der Installationspakete kann einige Sekunden in Anspruch nehmen. Anschließend werden Sie zur Eingabe des Konfigurationstyps aufgefordert.
Geben Sie bei Aufforderung die entsprechende Option an, um mit der standardmäßigen oder benutzerdefinierten Konfiguration fortzufahren.
Geben Sie den Hostnamen des standardmäßigen Kommunikationsservers oder die IP-Adresse des Computers ein, auf dem Sentinel installiert ist.
(Bedingt) Geben Sie bei einer benutzerdefinierten Konfiguration Folgendes an:
Portnummer des Kommunikationskanals für den Sentinel-Server
Portnummer des Sentinel-Webservers
Führen Sie zur Überprüfung des Zertifikats folgenden Befehl auf dem Sentinel-Server aus, wenn Sie zur Annahme des Zertifikats aufgefordert werden:
Für FIPS-Modus:
/opt/novell/sentinel/jdk/jre/bin/keytool -list -keystore /etc/opt/novell/sentinel/config/.activemqkeystore.jks
Für Nicht-FIPS-Modus:
/opt/novell/sentinel/jdk/jre/bin/keytool -list -keystore /etc/opt/novell/sentinel/config/nonfips_backup/.activemqkeystore.jks
Vergleichen Sie die Zertifikatausgabe mit dem in Schritt 12 angezeigten Sentinel-Serverzertifikat.
HINWEIS:Stimmt das Zertifikat nicht überein, wird die Installation angehalten. Führen Sie die Installation erneut aus und überprüfen Sie die Zertifikate.
Akzeptieren Sie das Zertifikat, wenn die Zertifikatausgabe mit dem Sentinel-Serverzertifikat übereinstimmt.
Geben Sie den Berechtigungsnachweis für jeden Benutzer mit einer Verwalterfunktion an. Dieser besteht aus einem Benutzernamen und Passwort.
(Bedingt) Geben Sie bei einer benutzerdefinierten Konfiguration yes oder y ein, um den FIPS 140-2-Modus in Sentinel zu aktivieren und mit der FIPS-Konfiguration fortzufahren.
(Bedingt) Wenn die Umgebung eine Mehr-Faktor-Authentifizierung oder starke Authentifizierung verwendet, müssen Sie die Sentinel-Client-ID und das Sentinel-Clientgeheimnis angeben. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Authentication Methods
(Authentifizierungsmethoden) im Sentinel Administrator Guide (Sentinel-Administrationshandbuch).
Öffnen Sie die folgende URL, um die Sentinel-Client-ID und das Sentinel-Clientgeheimnis abzurufen:
https://Hostname:Port/SentinelAuthServices/oauth/clients
Hierbei gilt:
Hostname ist der Hostname des Sentinel-Servers.
Port ist der von Sentinel verwendete Port (üblicherweise 8443).
Die angegebene URL verwendet zum Abrufen der Sentinel-Client-ID und des Sentinel-Clientgeheimnisses Ihre aktuelle Sentinel-Sitzung.
Fahren Sie wie aufgefordert mit der Installation fort, bis sie abgeschlossen ist.